Cybersicherheitsexperten von Sekoia haben eine detaillierte Analyse der neuen Ransomware-Bedrohung „Helldown“ veröffentlicht, die gezielt Schwachstellen in Zyxel Firewalls ausnutzt. Die erstmals im Sommer 2024 von Cyfirma-Analysten entdeckte Malware stellt insbesondere für kleine und mittlere Unternehmen eine erhebliche Bedrohung dar.
Aktuelle Bedrohungslage und Angriffsziele
Bis November 2024 wurden 31 bestätigte Angriffe durch Helldown dokumentiert, wobei die Opfer hauptsächlich aus dem KMU-Sektor in den USA und Europa stammen. Der aktuelle Rückgang auf 28 aktive Fälle deutet möglicherweise auf erfolgreiche Lösegeldzahlungen hin.
Technische Analyse der Malware-Varianten
Die Ransomware existiert in zwei verschiedenen Ausführungen: Eine Linux-Version, die sich auf VMware-Umgebungen spezialisiert hat und eine Windows-Variante, die auf dem LockBit 3-Code basiert. Die Linux-Version zeichnet sich durch fortschrittliche Funktionen zur Erkennung, Deaktivierung und Verschlüsselung von virtuellen Maschinen aus. Technische Ähnlichkeiten mit den Malware-Familien Darkrace und Donex wurden festgestellt, direkte Verbindungen konnten jedoch nicht nachgewiesen werden.
Ausnutzung der Zyxel Firewall-Schwachstelle
Die Sicherheitsforscher identifizierten mindestens acht Kompromittierungen über Zyxel Firewalls als IPSec VPN-Zugangspunkte. Die Angreifer nutzen dabei die Schwachstelle CVE-2024-42057 aus, die Command-Injection-Angriffe über IPSec VPN ermöglicht. Besonders anfällig sind Systeme mit User-Based-PSK-Authentifizierung bei Verwendung von Benutzernamen mit mehr als 28 Zeichen.
Angriffsmethodik und Datenexfiltration
Die Helldown-Operatoren verwenden charakteristische Merkmale wie das Benutzerkonto OKSDW82A und die Konfigurationsdatei zzz1.conf für SSL VPN-Verbindungen. Nach der erfolgreichen Infiltration werden Domänen-Controller kompromittiert und Sicherheitssysteme deaktiviert. Die Gruppe ist für massive Datendiebstähle bekannt, mit veröffentlichten Datensätzen von bis zu 431 GB.
Obwohl die kritische Schwachstelle CVE-2024-42057 mit dem Firmware-Update 5.39 vom September 2024 geschlossen wurde, besteht weiterhin ein erhebliches Risiko durch möglicherweise noch unbekannte Exploits. Unternehmen wird dringend empfohlen, ihre Zyxel Firewalls umgehend zu aktualisieren, regelmäßige Sicherheitsaudits durchzuführen und ein umfassendes Backup-Konzept zu implementieren. Die Installation von Intrusion Detection Systemen und die Überwachung von VPN-Zugriffen sind weitere wichtige Schutzmaßnahmen gegen diese aufstrebende Bedrohung.
