新型 “Helldown ”勒索软件变种将攻击范围扩大到 VMware 和 Linux 系统

网络安全研究人员发现了一种名为 “Helldown ”的新型勒索软件的 Linux 变种，这表明威胁分子正在扩大其攻击重点。

“Helldown 部署了源自 LockBit 3.0 代码的 Windows 勒索软件，”Sekoia 在与 The Hacker News 分享的一份报告中说。“鉴于最近针对 ESX 的勒索软件的发展，该组织似乎可能正在发展其当前的行动，以通过 VMware 来攻击虚拟化基础设施。”

Halcyon于2024年8月中旬首次公开记录了Helldown，将其描述为一个 “侵略性勒索软件组织”，通过利用安全漏洞渗透目标网络。该网络犯罪集团的主要目标行业包括 IT 服务、电信、制造和医疗保健。

与其他勒索软件团伙一样，Helldown 以利用数据泄露网站威胁公布被盗数据，迫使受害者支付赎金而闻名，这种策略被称为双重勒索。据估计，它在三个月内至少攻击了 31 家公司。

Truesec 在本月早些时候发布的一份分析报告中详细介绍了 Helldown 攻击链，据观察，该攻击链利用面向互联网的 Zyxel 防火墙获取初始访问权限，然后进行持久性攻击、凭证收集、网络查点、防御规避和横向移动活动，最终部署勒索软件。

Sekoia的最新分析显示，攻击者正在滥用Zyxel设备中已知和未知的安全漏洞来入侵网络，利用这个立足点窃取凭证并与临时用户创建SSL VPN隧道。

Windows 版本的 Helldown 一旦启动，就会在渗出和加密文件之前执行一系列步骤，包括删除系统阴影副本和终止与数据库和 Microsoft Office 有关的各种进程。在最后一步，它会删除勒索软件二进制文件以掩盖踪迹，并丢弃一张赎金纸条，然后关闭机器。

法国网络安全公司称，该勒索软件的Linux对应程序缺乏混淆和反调试机制，同时包含一套简洁的功能来搜索和加密文件，但在此之前不会列出并杀死所有活动的虚拟机（VM）。

“静态和动态分析没有发现任何网络通信，也没有发现任何公开密钥或共享秘密，”它说。“这一点值得注意，因为它提出了攻击者如何提供解密工具的问题。”

“在加密前终止虚拟机可授予勒索软件写入镜像文件的权限。然而，静态和动态分析都显示，虽然代码中存在这一功能，但实际上并未调用。所有这些观察结果表明，勒索软件并不复杂，可能仍在开发中。”

Helldown Windows人工制品与DarkRace在行为上有相似之处，后者于2023年5月出现，使用了LockBit 3.0的代码，后来改名为DoNex。早在 2024 年 7 月，Avast 就提供了 DoNex 的解密程序。

Sekoia说：“这两种代码都是LockBit 3.0的变种。鉴于 Darkrace 和 Donex 的品牌重塑历史及其与 Helldown 的显著相似性，不能排除 Helldown 是另一个品牌重塑的可能性。不过，这种联系在现阶段还无法得到明确证实。”

思科塔洛斯（Cisco Talos）披露了另一个名为 “Interlock ”的新兴勒索软件家族，该家族专门针对美国的医疗保健、技术和政府部门以及欧洲的制造业实体。它能够加密 Windows 和 Linux 机器。

据观察，传播勒索软件的攻击链使用了一个假冒的谷歌 Chrome 浏览器更新程序二进制文件，该二进制文件托管在一个合法但已损坏的新闻网站上，运行时会释放一个远程访问木马（RAT），允许攻击者提取敏感数据并执行 PowerShell 命令，该命令旨在投放有效载荷，以获取凭据并进行侦察。

“在他们的博客中，Interlock 声称他们利用未解决的漏洞来攻击组织的基础设施，并声称他们的行动除了金钱利益外，部分动机是希望让公司对糟糕的网络安全负责，”Talos 的研究人员说。

该公司补充说，据评估，Interlock 是一个从 Rhysida 操作员或开发人员中衍生出来的新组织，他们在手法、工具和勒索软件行为方面存在重叠。

“Interlock可能隶属于Rhysida的操作者或开发者，这与网络威胁领域的几大趋势相吻合，”该公司说。“我们观察到，勒索软件组织的能力正在多样化，以支持更先进、更多样的操作，勒索软件组织的孤岛化程度也在降低，因为我们观察到，操作人员越来越多地与多个勒索软件组织合作。”

在 Helldown 和 Interlock 出现的同时，另一个名为 SafePay 的勒索软件也加入了勒索软件生态系统。根据 Huntress 的说法，SafePay 也使用 LockBit 3.0 作为基础，这表明 LockBit 源代码的泄露已经催生了多个变种。

在该公司调查的两起事件中，“发现威胁行为者的活动源自 VPN 网关或门户，因为所有观察到的分配给威胁行为者工作站的 IP 地址都在内部范围内，”Huntress 研究人员说。

Huntress 研究人员说：“威胁行为者能够使用有效凭证访问客户端点，而且没有观察到启用 RDP、创建新用户账户或创建任何其他持久性。”