Yeni bir fidye yazılımı grubu olan Helldown, ağları ihlal etmek için güvenlik açıklarından aktif olarak yararlanıyor; Ağustos 2024’ten bu yana 28 kurbanın güvenliğini ihlal ederek verilerini özel bir web sitesine sızdırdılar.
Fidye yazılımı grubu IS, veri sızıntısı sitesini güncelledi, üç kurbanı ortadan kaldırdı; bu, muhtemelen çifte şantaj taktiğini sürdürerek başarılı fidye ödemelerine işaret ediyor, fidye talepleri karşılanmadığı takdirde verileri çalıyor ve sızdırma tehdidinde bulunuyor.
Çoğunlukla ağustos ve ekim aylarında aktifti ve odak noktalarının aktif saldırılar ve araç geliştirme arasında değiştiği anlaşılan küçük ve orta ölçekli işletmeler ile Zyxel Europe gibi daha büyük kuruluşlar da dahil olmak üzere 30’dan fazla kurbanı ele geçirdi.
Bir analiz, biri Ağustos başında ele geçirilenler de dahil olmak üzere en az sekiz kurbanın, ihlalleri sırasında IPSec VPN erişimi için Zyxel güvenlik duvarlarını kullandığını ve Censys’in geçmiş verilerine göre iki kurbanın daha sonra güvenlik ihlali sonrasında Zyxel güvenlik duvarlarını değiştirdiğini ortaya çıkardı.
V5.38 ürün yazılımına sahip Zyxel güvenlik duvarlarının güvenliği ihlal edildi ve potansiyel olarak kritik CVE-2024-42057 güvenlik açığından yararlanıldı.
Bir saldırgan, muhtemelen son ihlallerle bağlantılı olan, potansiyel olarak kötü amaçlı bir ELF ikili dosyası yükledi, ancak veri yükü eksik.
Tehdit aktörleri, SSL VPN aracılığıyla “SUPPOR87” ve “VPN” gibi yetkisiz hesaplar oluşturmak için Zyxel güvenlik duvarlarındaki güvenlik açıklarından yararlanıyor ve potansiyel olarak kurban sistemlerine yetkisiz erişim sağlıyor.
Helldown grubu, SSL VPN aracılığıyla ağa erişmek için OKSDW82A hesabını kullanarak güvenlik duvarlarını tehlikeye atmak için bir Zyxel güvenlik açığından yararlandı; burada uzlaşma sonrası etkinlikler arasında yanal hareket, ayrıcalık yükseltme ve Gelişmiş Bağlantı Noktası Tarayıcı ve HRSword gibi araçların konuşlandırılması yer alıyor ve bu da potansiyel fidye yazılımına işaret ediyor niyetler.
Daha az hedef alınarak, hassas belgeler de dahil olmak üzere büyük miktarda veriyi doğrudan ağ dosya paylaşımlarından sızdırıyor ve çok çeşitli gizli bilgileri açığa çıkararak mağdurlar üzerindeki baskıyı artırıyor.
Windows yürütülebilir verisi, dosyaları şifreleyen, fidye notu oluşturan ve Windows API’lerini kullanarak virüslü sistemde varlığını sürdüren bir fidye yazılımı çeşididir.
Fidye yazılımı, sistem gölge kopyalarını siler, kritik işlemleri sonlandırmak için bir komut dosyası bırakır ve çalıştırır, dosyaları şifreler, dosya adlarını ve simgeleri değiştirir, bir fidye notu oluşturur, izlerini kaldırır ve sistemi kapatır.
Sekoia’ya göre, yapılandırmasını XOR ile şifrelenmiş bir XML dosyasından yüklüyor, yönetici ayrıcalıklarını kontrol ediyor, 64 bit yeniden yönlendirmeyi devre dışı bırakıyor ve ardından gölge kopyaları silerken ve dosya simgelerini fidye notuyla değiştirirken belirtilen dosyaları şifreliyor.
Komutları çalıştırarak gölge kopyaları siler, bir simge bırakır, kayıt defterini değiştirir ve ardından belirtilen işlemleri sonlandırır, bir fidye notu oluşturur ve son olarak sistemi kapatır.
Yeni bir tehdit aktörü olan Helldown, ağa erişim kazanmak ve temel fidye yazılımlarını dağıtmak için Zyxel güvenlik duvarı açıklarından yararlanıyor. Başarıları, kötü amaçlı yazılımlarının karmaşıklığından ziyade, bu güvenlik açıklarından yararlanma becerilerinde yatmaktadır.
Grup, muhtemelen sanallaştırılmış VMware altyapılarını hedef alan LockBit 3 fidye yazılımını dağıtmak için bir Zyxel güvenlik açığından yararlandı; henüz bir CVE atanmamış bu güvenlik açığı, yakın zamanda yapılan bir ürün yazılımı güncellemesinde Zyxel tarafından giderildi.
SOC/DFIR Ekiplerinden misiniz? – ANY.RUN ile Kötü Amaçlı Yazılım Dosyalarını ve Bağlantılarını Analiz Edin -> Ücretsiz Deneyin