28 жертв за 3 месяца: Helldown вскрывает слабости сетевых устройств Zyxel

· SecurityLab.ru · Подписаться

Кибервымогатели прокладывают новый путь в корпоративные сети.

В киберпространстве набирает обороты новая операция вымогателей под названием Helldown, которая, как считают эксперты, использует уязвимости в межсетевых экранах Zyxel для проникновения в корпоративные сети. По данным французской компании Sekoia, такие атаки позволяют преступникам шифровать устройства и похищать данные.

С момента запуска летом 2024 года Helldown стремительно расширяет список жертв, публикуя данные о компаниях на своём портале. На сегодняшний день там числится 28 пострадавших, преимущественно небольших и средних организаций из США и Европы.

Helldown впервые был задокументирован исследователями Cyfirma 9 августа, а позже исследован Cyberint в октябре. Интерес вызывает Linux-версия программы, направленная на файлы VMware. Её функционал пока активен лишь частично, что указывает на возможную стадию разработки.

Версия Helldown для Windows, как утверждает Sekoia, основана на утечке LockBit 3 и имеет общие черты с Darkrace и Donex. Однако установить прямую связь пока не удалось. Среди ключевых жертв — европейское подразделение компании Zyxel, поставщика сетевых решений и средств кибербезопасности.

Преступники отличаются менее избирательным подходом к данным, чем прочие группы, выгружая буквально всё подряд. Одна из утечек включала до 431 ГБ информации. Шифраторы Helldown работают через командные файлы, что подчёркивает их недостаточную технологическую сложность.

В ходе расследования Sekoia выявила использование учётной записи «OKSDW82A» и конфигурационного файла «zzz1.conf» для атак на устройства Zyxel с уязвимой прошивкой 5.38. Предполагается, что эксплуатируется уязвимость CVE-2024-42057, исправленная в сентябре с выпуском версии 5.39.

Образцы вирусов, связанные с Helldown, были загружены в октябре. Хотя их код оказался неполным, эксперты уверены, что они связаны с атакой на Zyxel. На запросы журналистов о комментариях Zyxel пока не ответила. Однако 21 ноября компания выпустила заявление, заверив, что прошивка версии 5.39 защищает от всех известных угроз.