Especialistas em segurança cibernética descobriram uma variante Linux de uma nova cepa de ransomware conhecida como Helldown, indicando que os operadores podem estar expandindo seu escopo de ataque.
“Helldown aproveita o ransomware do Windows derivado do código LockBit 3.0”, afirmou Sekoia em um relatório compartilhado com The Hacker News. “Com o recente surgimento de ransomware direcionado ao ESX, parece que o grupo está adaptando suas operações para atingir infraestruturas virtualizadas via VMware.”
O Helldown foi documentado inicialmente pela Halcyon em meados de agosto de 2024, que o descreveu como um “grupo agressivo de ransomware” que viola redes alvo explorando vulnerabilidades de segurança. Os principais setores afetados pelo grupo incluem serviços de TI, telecomunicações, manufatura e assistência médica.
Semelhante a outros grupos de ransomware, o Helldown emprega sites de vazamento de dados para coagir as vítimas a pagar resgates sob a ameaça de expor dados roubados, uma estratégia conhecida como extorsão dupla. Os relatórios estimam que ele impactou pelo menos 31 organizações em um período de três meses.
Truesec, em uma análise divulgada no início deste mês, detalhou as técnicas de ataque do Helldown, que exploram firewalls Zyxel voltados para a Internet para acesso inicial. Os invasores então estabelecem persistência, coletam credenciais, enumeram redes, evadem defesas e realizam movimento lateral para implantar o ransomware.
As últimas descobertas da Sekoia revelam que os invasores exploram vulnerabilidades documentadas e não documentadas em dispositivos Zyxel para se infiltrar em redes, usando o acesso para roubar credenciais e criar usuários SSL VPN temporários para maior penetração.
A variante Windows do Helldown, uma vez executada, realiza várias ações antes de criptografar arquivos, como excluir cópias de sombra do sistema e encerrar processos vinculados a bancos de dados e ao Microsoft Office. Para ofuscar sua atividade, o ransomware apaga seu binário pós-ataque, solta uma nota de resgate e desliga o sistema.
Em contraste, sua contraparte Linux não tem recursos de ofuscação e anti-depuração, mas inclui funções simplificadas para identificar e criptografar arquivos. Antes de fazer isso, ele lista e desliga todas as máquinas virtuais (VMs) ativas.
“A análise estática e dinâmica não encontrou evidências de comunicação de rede, chaves públicas ou segredos compartilhados”, observou Sekoia. “Isso é significativo, pois levanta questões sobre como as ferramentas de descriptografia seriam fornecidas pelos invasores.”
Desabilitar máquinas virtuais (VMs) antes da criptografia concede ao ransomware a capacidade de gravar diretamente em arquivos de imagem. No entanto, análises estáticas e dinâmicas indicam que, embora esse recurso exista no código, ele não é utilizado ativamente. Essas descobertas sugerem que o ransomware é relativamente pouco sofisticado e potencialmente ainda em desenvolvimento.
Artefatos da versão do Helldown para Windows exibem similaridades comportamentais com o DarkRace, uma cepa de ransomware que surgiu pela primeira vez em maio de 2023 utilizando o código LockBit 3.0 e mais tarde renomeado como DoNex. Em julho de 2024, a Avast lançou um descriptografador para o DoNex.
“Ambos são derivados do LockBit 3.0”, afirmou Sekoia. “Considerando o histórico de rebranding da DarkRace e da DoNex e sua notável sobreposição com Helldown, é plausível que Helldown seja outra rebranding. No entanto, isso não pode ser verificado conclusivamente no momento.”
Enquanto isso, a Cisco Talos relatou uma família de ransomware recém-identificada chamada Interlock, que tem como alvo os setores de saúde, tecnologia e governo nos EUA, bem como organizações de manufatura na Europa. Essa cepa é capaz de criptografar sistemas que executam Windows e Linux.
As cadeias de ataque observadas que entregam Interlock envolvem um binário falso atualizador do Google Chrome hospedado em um site de notícias legítimo, mas comprometido. Quando executado, ele implanta um trojan de acesso remoto (RAT), permitindo que invasores extraiam dados confidenciais e executem comandos do PowerShell para implantar cargas úteis adicionais para roubo de credenciais e reconhecimento.
“Em suas comunicações, a Interlock alega explorar vulnerabilidades não corrigidas para comprometer a infraestrutura e justifica suas ações como uma resposta a práticas ruins de segurança cibernética e um meio de ganho financeiro”, os pesquisadores da Talos observaram.
A Talos também sugeriu que a Interlock poderia ser uma nova operação decorrente dos operadores ou desenvolvedores da Rhysida, citando similaridades em táticas, ferramentas e comportamento de ransomware.
“A conexão potencial da Interlock com a Rhysida se alinha com tendências mais amplas em operações de ransomware”, explicou a empresa. “Estamos vendo grupos de ransomware diversificarem suas capacidades, adotarem abordagens mais sofisticadas e colaborarem cada vez mais entre os limites do grupo.”
Acompanhando o surgimento do Helldown e do Interlock está outro agente de ransomware chamado SafePay, que assume a responsabilidade por ataques a 22 organizações até agora. De acordo com a Huntress, o SafePay também é construído no LockBit 3.0, destacando a proliferação de variantes derivadas do código-fonte do LockBit vazado.
Em dois incidentes analisados pela Huntress, “as ações do agente de ameaça se originaram de um gateway ou portal VPN, pois todos os endereços IP observados vinculados às estações de trabalho do agente de ameaça estavam dentro de intervalos internos”, seus pesquisadores relataram.
“Os invasores utilizaram credenciais válidas para acessar os sistemas do cliente sem habilitar o RDP, criar novas contas ou estabelecer outros mecanismos de persistência.”
Fonte: TheHackerNews
