Gelişmiş bir siber tehdit olan Helldown Ransomware, dosyaları şifrelemek ve sistem açıklarından yararlanmak için Windows ve Linux da dahil olmak üzere gelişmiş platformlar arası yeteneklerden yararlanarak dünya çapındaki kritik endüstrileri aktif olarak hedefliyor.
Modüler tasarımı ve tespit edilmeyi önleme teknikleri, sürekli gelişmeyi ve kalıcı saldırıları mümkün kılar; bu da onu küresel siber güvenlik için önemli bir tehdit haline getirir ve acil müdahale ve güçlü hafifletme stratejileri gerektirir.
Ağustos 2024’te tespit edilen Helldown fidye yazılımı, dosyaları şifreliyor, yeniden adlandırıyor ve 32 bitlik bir GUI uygulaması olan Windows yürütülebilir dosyası, işlemleri sonlandırmak ve yürütmeyi geciktirmek için bir toplu komut dosyası bırakarak fidye talep ediyor.
Analyze cyber threats with ANYRUN's powerful sandbox. Black Friday Deals : Get up to 3 Free Licenses.
Tespitten kaçınmak ve güvenlik analizini engellemek için sanal makine ortamlarının kontrol edilmesi de dahil olmak üzere anti-analiz tekniklerini kullanır.
Windows kayıt defterini Birim Gölge Kopyası Hizmetini devre dışı bırakacak şekilde değiştirerek analiz ve hata ayıklama çabalarını engellemek için birden fazla hata ayıklama önleme tekniği uygular ve sistem geri yükleme noktalarının oluşturulmasını engeller.
Kritik sistem ve kullanıcı dosyalarını şifreleyerek, tespit edilmekten kaçınmak için uzantılarını .FGqogsxF ve simgeler olarak değiştirir. Son olarak fidye yazılımı, izlerini silmek için tehlikeye atılan sistemi kendi kendini yok eder ve yeniden başlatır.
64 bit ELF formatında yürütülebilir bir dosya olan Helldown fidye yazılımı, belirli dosya uzantılarını hedeflemek için sabit kodlanmış yapılandırma verilerini kullanır.
Korumalı alan tarafından tespit edilmekten kaçınmak için uyku işlevlerini kullanır ve zaman damgalarını değiştirmesine olanak tanıyan ‘dokunma’ komutu gibi kabuk komutlarını çalıştırır.
Fidye yazılımı, hedeflenen dosyaları şifreler ve yazma erişimi elde etmek için sanal makineleri öldürme yeteneğine sahip bir fidye notu bırakır, ancak bu özellik analiz sırasında etkinleştirilmemiştir.
Cyfirma araştırması, tehdit aktörlerinin yetkisiz erişim elde etmek için Zyxel güvenlik duvarlarındaki, özellikle de CVE-2024-42057’deki güvenlik açıklarından aktif olarak yararlandığını ortaya koyuyor; bu, kötü amaçlı hesaplar oluşturmayı ve güvenliği ihlal edilmiş cihazlara “zzz1.conf” gibi arka kapılar yüklemeyi de içeriyor.
Saldırılar başarılı ihlallerle sonuçlandı ve bazı kuruluşları etkilenen güvenlik duvarlarını değiştirmeye zorladı; bu da kuruluşların Zyxel güvenlik duvarlarına acilen yama yapması ve bu riskleri azaltmak için güçlü güvenlik önlemleri uygulaması gerektiğinin altını çizdi.
Yakın zamanda ortaya çıkan bir tehdit aktörü olan Helldown fidye yazılımı, sırasıyla beş, üç ve üç kurbanla en çok etkilenen Emlak ve İnşaat, BT ve İmalat sektörleri de dahil olmak üzere çeşitli sektörleri hızla hedef aldı.
Sağlık, Enerji ve Ulaşım gibi kritik sektörlerin de listede yer alması, temel hizmetlere ve işletmelere yönelik yaygın bir saldırıyı işaret ediyor ve Helldown fidye yazılımının çeşitli kuruluşlar için oluşturduğu önemli tehdidin altını çiziyor.
Siber güvenliği geliştirmek için güçlü güvenlik protokolleri, şifreleme uygulayın, kritik sistemler için erişim kontrolleri uygulayın ve düzenli yedeklemeler yapın.
Sıfır güven mimarisini ve MFA’yı benimseyerek veri türlerini, iyileştirmeyi, depolamayı ve bildirim gereksinimlerini ele alan kapsamlı bir veri ihlali önleme planı geliştirin.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın