Siber güvenlik araştırmacıları, Helldown adlı nispeten yeni bir fidye yazılımı türünün Linux versiyonuna ışık tuttu ve tehdit aktörlerinin saldırı odaklarını genişlettiklerini öne sürdü.
Sekoia, The Hacker News ile paylaştığı bir raporda “Helldown, LockBit 3.0 kodundan türetilen Windows fidye yazılımını dağıtıyor” dedi. “ESX’i hedef alan fidye yazılımındaki son gelişmeler göz önüne alındığında, grubun mevcut operasyonlarını VMware aracılığıyla sanallaştırılmış altyapıları hedef alacak şekilde geliştirebileceği görülüyor.”
Helldown ilk kez 2024 Ağustos’unun ortalarında Halcyon tarafından kamuya açık bir şekilde belgelendi ve güvenlik açıklarından yararlanarak hedef ağlara sızan “saldırgan bir fidye yazılımı grubu” olarak tanımlandı. Siber suç grubunun hedef aldığı önde gelen sektörlerden bazıları arasında BT hizmetleri, telekomünikasyon, üretim ve sağlık hizmetleri yer alıyor.
Diğer fidye yazılımı ekipleri gibi Helldown da, çifte gasp olarak bilinen bir taktik olan, çalıntı verileri yayınlamakla tehdit ederek kurbanları fidye ödemeye zorlamak için veri sızıntısı sitelerinden yararlanmasıyla biliniyor. Üç ay içinde en az 31 şirkete saldırdığı tahmin ediliyor.
Truesec, bu ayın başlarında yayınlanan bir analizde, ilk erişimi elde etmek için internete yönelik Zyxel güvenlik duvarlarını kullanan, ardından kalıcılık, kimlik bilgisi toplama, ağ numaralandırma, savunmadan kaçınma ve yanal hareket faaliyetlerini gerçekleştiren gözlemlenen Helldown saldırı zincirlerini ayrıntılı olarak açıkladı. sonuçta fidye yazılımını dağıtmak için.
Sekoia’nın yeni analizi, saldırganların ağları ihlal etmek için Zyxel cihazlarındaki bilinen ve bilinmeyen güvenlik kusurlarını kötüye kullandıklarını, kimlik bilgilerini çalmak ve geçici kullanıcılarla SSL VPN tünelleri oluşturmak için dayanak noktası kullandıklarını gösteriyor.
Helldown’un Windows sürümü başlatıldığında, dosyaları dışarı çıkarmadan ve şifrelemeden önce, sistem gölge kopyalarının silinmesi ve veritabanları ve Microsoft Office ile ilgili çeşitli işlemlerin sonlandırılması da dahil olmak üzere bir dizi adım gerçekleştirir. Son adımda, izleri gizlemek için fidye yazılımı ikili dosyası silinir, bir fidye notu bırakılır ve makine kapatılır.
Fransız siber güvenlik şirketine göre Linux muadili, gizleme ve hata ayıklamayı önleme mekanizmalarından yoksundur ve dosyaları aramak ve şifrelemek için kısa bir dizi işlev içerir, ancak tüm aktif sanal makineleri (VM’ler) listeleyip sonlandırmadan önce değil.
“Statik ve dinamik analiz hiçbir ağ iletişimini, herhangi bir genel anahtarı veya paylaşılan sırrı ortaya çıkarmadı” dedi. “Bu, saldırganın şifre çözme aracını nasıl sağlayabileceğine dair soruları gündeme getirdiği için dikkate değer.”
“VM’leri şifrelemeden önce sonlandırmak, fidye yazılımının görüntü dosyalarına yazma erişimini sağlar. Ancak hem statik hem de dinamik analizler, bu işlevin kodda mevcut olmasına rağmen aslında çalıştırılmadığını ortaya koyuyor. Tüm bu gözlemler, fidye yazılımının çok karmaşık olmadığını ve hâlâ geliştirilme aşamasında.”
Helldown Windows yapıtlarının, Mayıs 2023’te LockBit 3.0 kodunu kullanarak ortaya çıkan ve daha sonra DoNex olarak yeniden markalanan DarkRace ile davranışsal benzerlikler paylaştığı tespit edildi. DoNex için bir şifre çözücü Avast tarafından Temmuz 2024’te kullanıma sunuldu.
Sekoia, “Her iki kod da LockBit 3.0’ın çeşitleridir” dedi. “Darkrace ve Donex’in yeniden markalaşma geçmişi ve Helldown ile önemli benzerlikleri göz önüne alındığında, Helldown’un başka bir yeniden marka olma olasılığı göz ardı edilemez. Ancak bu bağlantı bu aşamada kesin olarak doğrulanamaz.”
Bu gelişme, Cisco Talos’un, ABD’deki sağlık, teknoloji ve hükümet sektörlerini ve Avrupa’daki üretim kuruluşlarını öne çıkaran, Interlock olarak bilinen yeni bir fidye yazılımı ailesini açıklamasıyla birlikte geldi. Hem Windows hem de Linux makinelerini şifreleme yeteneğine sahiptir.
Fidye yazılımını dağıtan saldırı zincirleri, meşru ancak güvenliği ihlal edilmiş bir haber web sitesinde barındırılan sahte bir Google Chrome tarayıcı güncelleyici ikili programı kullanılarak gözlemlendi; bu ikili çalıştırıldığında saldırganların hassas verileri ayıklamasına ve PowerShell’i çalıştırmasına olanak tanıyan bir uzaktan erişim truva atını (RAT) açığa çıkarıyor. Kimlik bilgilerini toplamak ve keşif yapmak için yükleri bırakmak üzere tasarlanmış komutlar.
Talos araştırmacıları, “Bloglarında Interlock, ele alınmamış güvenlik açıklarından yararlanarak kuruluşların altyapısını hedef aldığını iddia ediyor ve eylemlerinin kısmen, parasal kazancın yanı sıra şirketleri zayıf siber güvenlikten sorumlu tutma arzusuyla motive edildiğini iddia ediyor.” dedi.
Şirket, ticaret, araçlar ve fidye yazılımı davranışlarındaki örtüşmelere dikkat çekerek, Interlock’un Rhysida operatörleri veya geliştiricilerinden ortaya çıkan yeni bir grup olarak değerlendirildiğini ekledi.
“Interlock’un Rhysida operatörleri veya geliştiricileriyle olası bağlantısı, siber tehdit ortamındaki daha geniş birçok eğilimle uyumlu olacaktır” dedi. “Fidye yazılımı gruplarının daha gelişmiş ve çeşitli operasyonları desteklemek için yeteneklerini çeşitlendirdiğini gözlemledik ve operatörlerin birden fazla fidye yazılımı grubuyla giderek daha fazla birlikte çalıştığını gözlemledikçe fidye yazılımı gruplarının daha az izole hale geldiğini gözlemledik.”
Helldown ve Interlock’un gelişiyle aynı zamana denk gelen, bugüne kadar 22 şirketi hedef aldığını iddia eden SafePay adlı fidye yazılımı ekosistemine yeni bir katılımcı daha eklendi. Huntress’e göre SafePay de temel olarak LockBit 3.0’ı kullanıyor, bu da LockBit kaynak kodunun sızıntısının birkaç farklı varyantı ortaya çıkardığını gösteriyor.
Huntress araştırmacıları, şirket tarafından araştırılan iki olayda “tehdit aktörü iş istasyonlarına atanan gözlenen tüm IP adreslerinin dahili aralıkta olması nedeniyle tehdit aktörünün faaliyetinin bir VPN ağ geçidi veya portalından kaynaklandığının tespit edildiğini” söyledi.
“Tehdit aktörü, müşteri uç noktalarına erişmek için geçerli kimlik bilgilerini kullanabildi ve RDP’yi etkinleştirdiği, yeni kullanıcı hesapları oluşturduğu veya başka herhangi bir kalıcılık oluşturduğu gözlemlenmedi.”