S'inscrire

Cybersécurité - 19/11/2024

La nouvelle variante du ransomware « Helldown » étend ses attaques aux systèmes VMware et Linux

Hacker utilisant un outil de cybersécurité

Des chercheurs en cybersécurité ont mis en lumière une variante Linux d’une souche de ransomware relativement nouvelle appelée Helldown, suggérant que les acteurs de la menace élargissent leur champ d’attaque.

« Helldown déploie un ransomware Windows dérivé du code LockBit 3.0 », a déclaré Sekoia dans un rapport partagé avec The Hacker News. « Étant donné le développement récent de ransomwares ciblant ESX, il semble que le groupe pourrait faire évoluer ses opérations actuelles pour cibler les infrastructures virtualisées via VMware. »

Helldown a été documenté publiquement pour la première fois par Halcyon à la mi-août 2024, le décrivant comme un « groupe de ransomware agressif » qui s’infiltre dans les réseaux cibles en exploitant les vulnérabilités de sécurité. Parmi les principaux secteurs ciblés par le groupe de cybercriminalité figurent les services informatiques, les télécommunications, l’industrie manufacturière et les soins de santé.

Comme d’autres groupes de ransomware, Helldown est connu pour exploiter les sites de fuite de données pour faire pression sur les victimes afin qu’elles paient des rançons en menaçant de publier les données volées, une tactique connue sous le nom de double extorsion. On estime qu’il a attaqué au moins 31 entreprises en l’espace de trois mois.

Truesec, dans une analyse publiée plus tôt ce mois-ci, a détaillé les chaînes d’attaque Helldown qui ont été observées en utilisant des pare-feu Zyxel connectés à Internet pour obtenir un accès initial, suivi de la réalisation d’activités de persistance, de collecte d’informations d’identification, d’énumération de réseau, d’évasion de défense et de mouvement latéral pour finalement déployer le ransomware.

La nouvelle analyse de Sekoia montre que les attaquants exploitent des failles de sécurité connues et inconnues dans les appareils Zyxel pour pénétrer dans les réseaux, en utilisant cette base pour voler des informations d’identification et créer des tunnels VPN SSL avec des utilisateurs temporaires.

Une fois lancée, la version Windows de Helldown exécute une série d’étapes avant d’exfiltrer et de crypter les fichiers, notamment la suppression des copies fantômes du système et l’arrêt de divers processus liés aux bases de données et à Microsoft Office. Dans la dernière étape, le binaire du ransomware est supprimé pour dissimuler les traces, une demande de rançon est envoyée et la machine est arrêtée.

Son homologue Linux, selon la société française de cybersécurité, manque de mécanismes d’obfuscation et d’anti-débogage, tout en incorporant un ensemble concis de fonctions pour rechercher et crypter des fichiers, mais pas avant d’avoir répertorié et tué toutes les machines virtuelles (VM) actives.

« L’analyse statique et dynamique n’a révélé aucune communication réseau, ni aucune clé publique ou secret partagé », a-t-il déclaré. « C’est remarquable, car cela soulève des questions sur la manière dont l’attaquant pourrait fournir un outil de décryptage. »

/>

« L’arrêt des machines virtuelles avant le chiffrement permet au ransomware d’accéder en écriture aux fichiers image. Cependant, les analyses statiques et dynamiques révèlent que, bien que cette fonctionnalité existe dans le code, elle n’est pas réellement invoquée. Toutes ces observations suggèrent que le ransomware n’est pas très sophistiqué et qu’il est peut-être encore en cours de développement. »

Il a été découvert que les artefacts Windows de Helldown partageaient des similitudes comportementales avec DarkRace, qui est apparu en mai 2023 à l’aide du code de LockBit 3.0 et a ensuite été rebaptisé DoNex . Un décrypteur pour DoNex a été mis à disposition par Avast en juillet 2024.

« Les deux codes sont des variantes de LockBit 3.0 », a déclaré Sekoia. « Étant donné l’historique des changements de marque de Darkrace et Donex et leurs similitudes significatives avec Helldown, la possibilité que Helldown soit un autre changement de marque ne peut être écartée. Cependant, ce lien ne peut pas être définitivement confirmé à ce stade. »

Cette évolution intervient alors que Cisco Talos a révélé l’émergence d’une nouvelle famille de ransomwares, connue sous le nom d’Interlock, qui cible les secteurs de la santé, de la technologie et du gouvernement aux États-Unis, ainsi que les entreprises manufacturières en Europe. Elle est capable de crypter les machines Windows et Linux.

Des chaînes d’attaque distribuant le ransomware ont été observées à l’aide d’un faux binaire de mise à jour du navigateur Google Chrome hébergé sur un site d’actualités légitime mais compromis qui, une fois exécuté, libère un cheval de Troie d’accès à distance (RAT) qui permet aux attaquants d’extraire des données sensibles et d’exécuter des commandes PowerShell conçues pour larguer des charges utiles pour la collecte d’informations d’identification et la réalisation de reconnaissance.

« Dans leur blog, Interlock affirme cibler l’infrastructure des organisations en exploitant des vulnérabilités non traitées et affirme que leurs actions sont en partie motivées par le désir de tenir les entreprises responsables de la mauvaise cybersécurité, en plus du gain monétaire », ont déclaré les chercheurs de Talos .

Interlock est considéré comme un nouveau groupe issu des opérateurs ou développeurs de Rhysida, a ajouté la société, citant des chevauchements dans le métier, les outils et le comportement des ransomwares.

« L’affiliation possible d’Interlock avec les opérateurs ou développeurs de Rhysida s’alignerait sur plusieurs tendances plus larges dans le paysage des cybermenaces », a-t-il déclaré. « Nous avons observé que les groupes de ransomware diversifiaient leurs capacités pour prendre en charge des opérations plus avancées et plus variées, et que les groupes de ransomware devenaient moins cloisonnés, car nous avons observé que les opérateurs travaillaient de plus en plus aux côtés de plusieurs groupes de ransomware. »

Coïncidant avec l’arrivée de Helldown et Interlock, un autre nouveau venu dans l’écosystème des ransomwares, SafePay, affirme avoir ciblé 22 entreprises à ce jour. SafePay, selon Huntress, utilise également LockBit 3.0 comme base, ce qui indique que la fuite du code source de LockBit a engendré plusieurs variantes.

Dans deux incidents étudiés par la société, « l’activité de l’acteur de la menace s’est avérée provenir d’une passerelle ou d’un portail VPN, car toutes les adresses IP observées attribuées aux postes de travail des acteurs de la menace se trouvaient dans la plage interne », ont déclaré les chercheurs de Huntress .

« L’acteur de la menace a pu utiliser des informations d’identification valides pour accéder aux points de terminaison des clients et n’a pas été observé en train d’activer RDP, ni de créer de nouveaux comptes d’utilisateurs, ni de créer une autre persistance. »

Sujets récents