Специалисты по кибербезопасности из компании Sekoia опубликовали подробный анализ новой вымогательской программы Helldown, которая активно эксплуатирует уязвимости в брандмауэрах Zyxel для проникновения в корпоративные сети. Впервые обнаруженный летом 2024 года аналитиками Cyfirma, этот шифровальщик демонстрирует растущую активность, представляя серьезную угрозу для малого и среднего бизнеса.
Масштабы атак и целевая аудитория
По состоянию на начало ноября 2024 года зафиксирована 31 жертва Helldown, преимущественно компании малого и среднего бизнеса из США и Европы. Текущее сокращение числа жертв до 28 может указывать на то, что некоторые организации выполнили требования злоумышленников и выплатили выкуп.
Технические особенности вредоносного ПО
Helldown существует в двух версиях — для Linux и Windows. Linux-версия специализируется на атаках виртуальных машин VMware, включая функционал для их обнаружения, остановки и шифрования образов. Windows-версия основана на исходном коде LockBit 3 и имеет сходства с вредоносным ПО Darkrace и Donex, хотя прямые связи между этими семействами не подтверждены.
Механизм проникновения через брандмауэры Zyxel
Исследователи Sekoia выявили, что как минимум восемь жертв использовали брандмауэры Zyxel в качестве точек доступа IPSec VPN. Злоумышленники эксплуатируют уязвимость CVE-2024-42057, позволяющую выполнять команды через инъекции в IPSec VPN. Атака успешна при использовании аутентификации User-Based-PSK и специально сформированного имени пользователя длиной более 28 символов.
Особенности атак и похищение данных
Операторы Helldown используют учетную запись OKSDW82A и конфигурационный файл zzz1.conf для создания SSL VPN-соединений, получения доступа к контроллерам домена и отключения защитных механизмов. Группировка активно похищает корпоративные данные, публикуя крупные дампы объемом до 431 ГБ на своем сайте.
Уязвимость CVE-2024-42057 была устранена в прошивке версии 5.39, выпущенной в сентябре 2024 года. Однако эксперты предполагают, что операторы Helldown могут иметь доступ к непубличным эксплоитам, что делает их атаки особенно опасными. Организациям, использующим брандмауэры Zyxel, настоятельно рекомендуется обновить прошивку устройств до последней версии и регулярно проводить аудит безопасности сетевой инфраструктуры.
