Експерти з кібербезпеки компанії Sekoia виявили нову серйозну загрозу для корпоративного сектору – програму-вимагач Helldown, яка спеціалізується на експлуатації вразливостей у брандмауерах Zyxel. Цей шкідливий інструмент, вперше зафіксований влітку 2024 року командою Cyfirma, демонструє зростаючу активність та становить особливу небезпеку для малого та середнього бізнесу.
Масштаб кібератак та цільові жертви
Станом на листопад 2024 року зафіксовано 31 підтверджену жертву Helldown, переважно серед компаній малого та середнього бізнесу в США та Європі. Поточне зменшення кількості жертв до 28 може свідчити про те, що деякі організації погодились на виплату викупу зловмисникам.
Технічна архітектура шкідливого програмного забезпечення
Helldown розроблено у двох варіантах – для операційних систем Linux та Windows. Linux-версія націлена на віртуальні машини VMware, маючи функціонал для їх виявлення, зупинки та шифрування. Windows-варіант базується на вихідному коді LockBit 3 та має спільні риси з шкідливим ПЗ Darkrace і Donex, хоча прямих зв’язків між цими родинами вірусів-вимагачів не встановлено.
Механізм проникнення через вразливості Zyxel
Дослідження Sekoia показало, що щонайменше вісім постраждалих організацій використовували брандмауери Zyxel як точки доступу IPSec VPN. Зловмисники експлуатують вразливість CVE-2024-42057, яка дозволяє виконувати довільні команди через ін’єкції в IPSec VPN при використанні аутентифікації User-Based-PSK та спеціально сформованого імені користувача довжиною понад 28 символів.
Методи атак та викрадення даних
Оператори Helldown використовують обліковий запис OKSDW82A та конфігураційний файл zzz1.conf для встановлення SSL VPN-з’єднань, отримання доступу до контролерів домену та деактивації захисних механізмів. Група активно викрадає корпоративні дані, публікуючи на своєму сайті масивні дампи об’ємом до 431 ГБ.
Хоча вразливість CVE-2024-42057 була усунена у прошивці версії 5.39 у вересні 2024 року, експерти припускають наявність у операторів Helldown доступу до непублічних експлойтів. Організаціям, що використовують брандмауери Zyxel, наполегливо рекомендується терміново оновити прошивку пристроїв до останньої версії та запровадити регулярний аудит безпеки мережевої інфраструктури для мінімізації ризиків компрометації.
