Cybersecurity-onderzoekers hebben licht geworpen op een Linux-variant van een relatief nieuwe ransomware-soort genaamd Helldown, wat erop wijst dat de dreigingsactoren hun aanvalsfocus verbreden.
“Helldown gebruikt Windows-ransomware die is afgeleid van de LockBit 3.0-code”, zegt Sekoia in een rapport gedeeld met The Hacker News. “Gezien de recente ontwikkeling van ransomware gericht op ESX, lijkt het erop dat de groep zijn huidige activiteiten zou kunnen ontwikkelen om zich via VMware op gevirtualiseerde infrastructuren te richten.”
Helldown werd medio augustus 2024 voor het eerst publiekelijk gedocumenteerd door Halcyon en beschreef het als een “agressieve ransomwaregroep” die doelnetwerken infiltreert door beveiligingskwetsbaarheden te misbruiken. Enkele van de prominente sectoren waarop de cybercriminaliteitsgroep zich richt, zijn onder meer IT-diensten, telecommunicatie, productie en gezondheidszorg.
Net als andere ransomware-teams staat Helldown bekend om het gebruik van dataleksites om slachtoffers onder druk te zetten om losgeld te betalen door te dreigen met het publiceren van gestolen gegevens, een tactiek die bekend staat als dubbele afpersing. Er wordt geschat dat er binnen een tijdsbestek van drie maanden minstens 31 bedrijven zijn aangevallen.
Truesec heeft in een eerder deze maand gepubliceerde analyse gedetailleerde Helldown-aanvalsketens beschreven die zijn waargenomen door gebruik te maken van internetgerichte Zyxel-firewalls om initiële toegang te verkrijgen, gevolgd door het uitvoeren van persistentie, het verzamelen van inloggegevens, netwerkopsomming, verdedigingsontduiking en laterale bewegingsactiviteiten om uiteindelijk de ransomware in te zetten.
Uit de nieuwe analyse van Sekoia blijkt dat de aanvallers bekende en onbekende beveiligingsfouten in Zyxel-apparaten misbruiken om netwerken te doorbreken, waarbij ze de basis gebruiken om inloggegevens te stelen en SSL VPN-tunnels met tijdelijke gebruikers te creëren.
De Windows-versie van Helldown voert, eenmaal gelanceerd, een reeks stappen uit voordat de bestanden worden geëxfiltreerd en gecodeerd, inclusief het verwijderen van systeemschaduwkopieën en het beëindigen van verschillende processen met betrekking tot databases en Microsoft Office. In de laatste stap wordt het binaire bestand van de ransomware verwijderd om de sporen te verbergen, wordt een losgeldbriefje verwijderd en wordt de machine uitgeschakeld.
Zijn Linux-tegenhanger, volgens het Franse cyberbeveiligingsbedrijf, mist verduisterings- en anti-debugging-mechanismen, terwijl het een beknopte reeks functies bevat om bestanden te zoeken en te versleutelen, maar niet voordat alle actieve virtuele machines (VM’s) zijn opgesomd en beëindigd.
“De statische en dynamische analyse bracht geen netwerkcommunicatie aan het licht, noch enige publieke sleutel of gedeeld geheim”, aldus het rapport. “Dit is opmerkelijk, omdat het vragen oproept over hoe de aanvaller een decoderingstool zou kunnen leveren.”
“Het beëindigen van VM’s vóór encryptie geeft ransomware schrijftoegang tot afbeeldingsbestanden. Uit zowel statische als dynamische analyses blijkt echter dat, hoewel deze functionaliteit in de code aanwezig is, deze niet daadwerkelijk wordt aangeroepen. Al deze observaties suggereren dat de ransomware niet erg geavanceerd is en mogelijk zijn nog in ontwikkeling.”
Er is vastgesteld dat Helldown Windows-artefacten gedragsmatige gelijkenissen vertonen met DarkRace, dat in mei 2023 ontstond met behulp van code van LockBit 3.0 en later omgedoopt tot DoNex. Een decryptor voor DoNex werd in juli 2024 door Avast beschikbaar gesteld.
“Beide codes zijn varianten van LockBit 3.0”, aldus Sekoia. “Gezien de geschiedenis van rebranding van Darkrace en Donex en hun significante overeenkomsten met Helldown, kan de mogelijkheid dat Helldown een nieuwe rebranding is niet worden afgewezen. Dit verband kan in dit stadium echter niet definitief worden bevestigd.”
De ontwikkeling komt op het moment dat Cisco Talos een andere opkomende ransomware-familie bekendmaakte, bekend als Interlock, die zich richt op de gezondheidszorg-, technologie- en overheidssectoren in de VS, en productie-entiteiten in Europa. Het kan zowel Windows- als Linux-machines versleutelen.
Er zijn aanvalsketens waargenomen die de ransomware verspreiden met behulp van een nep-binaire versie van de Google Chrome-browser die wordt gehost op een legitieme maar gecompromitteerde nieuwswebsite en die, wanneer deze wordt uitgevoerd, een trojan voor externe toegang (RAT) ontketent waarmee de aanvallers gevoelige gegevens kunnen extraheren en PowerShell kunnen uitvoeren. opdrachten die zijn ontworpen om ladingen te laten vallen voor het verzamelen van inloggegevens en het uitvoeren van verkenningen.
“In hun blog beweert Interlock dat zij zich richten op de infrastructuur van organisaties door ongeadresseerde kwetsbaarheden te exploiteren en beweert dat hun acties gedeeltelijk gemotiveerd zijn door de wens om bedrijven verantwoordelijk te houden voor slechte cyberbeveiliging, naast geldelijk gewin”, aldus Talos-onderzoekers.
Interlock wordt beschouwd als een nieuwe groep die is voortgekomen uit Rhysida-operators of -ontwikkelaars, voegde het bedrijf eraan toe, daarbij verwijzend naar overlappingen in vakmanschap, tools en ransomware-gedrag.
“De mogelijke samenwerking van Interlock met Rhysida-operators of ontwikkelaars zou aansluiten bij verschillende bredere trends in het cyberdreigingslandschap”, aldus het rapport. “We hebben gezien dat ransomware-groepen hun capaciteiten diversifiëren om meer geavanceerde en gevarieerde activiteiten te ondersteunen, en ransomware-groepen zijn steeds minder in silo’s gegroeid, omdat we hebben waargenomen dat operators steeds vaker samenwerken met meerdere ransomware-groepen.”
Samenvallend met de komst van Helldown en Interlock is er nog een nieuwkomer in het ransomware-ecosysteem genaamd SafePay, die beweert zich tot nu toe op 22 bedrijven te hebben gericht. SafePay gebruikt volgens Huntress ook LockBit 3.0 als basis, wat aangeeft dat het lekken van de LockBit-broncode verschillende varianten heeft voortgebracht.
Bij twee door het bedrijf onderzochte incidenten “bleek de activiteit van de bedreigingsacteur afkomstig te zijn van een VPN-gateway of -portaal, aangezien alle waargenomen IP-adressen die waren toegewezen aan de werkstations van de bedreigingsacteur zich binnen het interne bereik bevonden”, aldus onderzoekers van Huntress.
“De bedreigingsacteur kon geldige inloggegevens gebruiken om toegang te krijgen tot eindpunten van klanten, en er werd niet waargenomen dat hij RDP inschakelde, nieuwe gebruikersaccounts aanmaakte of enige andere persistentie creëerde.”