Nová varianta ransomwaru „Helldown“ rozšiřuje útoky na systémy VMware a Linux

23 listopadu, 2024

Experti v oblasti kybernetické bezpečnosti našli linuxovou variantu relativně nového ransomwaru nazvaného Helldown, což naznačuje, že útočníci rozšiřují své zaměření. „Helldown nasazuje ransomware pro Windows odvozený z kódu LockBit 3.0,“ uvedla společnost Sekoia ve zprávě „Vzhledem k nedávnému vývoji ransomwaru zaměřeného na ESX se zdá, že skupina by mohla rozvíjet své současné operace a zaměřit se na virtualizované infrastruktury prostřednictvím VMware.“

Helldown byl poprvé veřejně zdokumentován společností Halcyon v polovině srpna 2024, která ho popsala jako „agresivní skupinu ransomwaru“, která proniká do cílových sítí využíváním bezpečnostních zranitelností. Mezi významné sektory, na které se tato skupina zaměřuje, patří IT služby, telekomunikace, výroba a zdravotnictví.

Stejně jako jiné skupiny ransomwaru je Helldown známý tím, že využívá weby pro únik dat k nátlaku na oběti, aby zaplatily výkupné, a to hrozbou zveřejnění ukradených dat, což je taktika známá jako dvojitá extorze. Odhaduje se, že zaútočil na nejméně 31 společností během tří měsíců.

Truesec ve své analýze zveřejněné začátkem listopadu podrobně popsal útoky Helldown, které byly pozorovány při využívání firewallů Zyxel přístupných z internetu k získání počátečního přístupu, následované prováděním perzistence, získáváním přihlašovacích údajů, mapováním sítě, vyhýbáním se obraně a laterálním pohybem, aby nakonec nasadil ransomware.

Nová analýza společnosti Sekoia ukazuje, že útočníci zneužívají známé i neznámé bezpečnostní chyby v zařízeních Zyxel k narušení sítí, přičemž využívají opěrný bod ke krádeži přihlašovacích údajů a vytváření SSL VPN tunelů s dočasnými uživateli.

Jakmile je spuštěna Windows verze Helldown, provádí řadu kroků před exfiltrací a šifrováním souborů, včetně mazání systémových stínových kopií a ukončování různých procesů souvisejících s databázemi a Microsoft Office. V závěrečném kroku je binární soubor ransomwaru smazán, aby zakryl stopy, je zanechána výkupná poznámka a stroj je vypnut.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS

ICT SECURITY

Napsat komentář Zrušit odpověď na komentář

Pro přidávání komentářů se musíte nejdříve přihlásit.

OBJEDNAT ČASOPIS
ICT NETWORK NEWS

OBJEDNAT ČASOPIS
eGOVERNMENT.NEWS

DATOVÁ CENTRA

Generální ředitel Nvidia a dánský král zapojili první superpočítač s umělou inteligencí v zemi

Jensen Huang a dánský král Frederik X. se setkali na pódiu v Kodani, aby symbolicky zapojili superpočítač Gefion s umělou inteligencí. Tento superpočítač je prvním

Číst dále »

18 listopadu, 2024

IOT & SMART CITY

Netmore instaluje technologii LoRaWAN na stožáry Cellnex pro zavádění chytrých měřičů ve Velké Británii

Švédský provozovatel sítě LoRaWAN, Netmore Group, spolupracuje s britskou pobočkou španělské věžové společnosti Cellnex na instalaci LoRaWAN bran na přibližně 200 pouličních stožárech pro zajištění

Číst dále »

18 listopadu, 2024

DATOVÁ CENTRA

Řešení kapalinového chlazení společnosti Supermicro pro datová centra připravuje půdu pro Nvidia Blackwell

GPU pro AI a HPC aplikace jsou stále náročnější na výkon, a proto vyžadují lepší chlazení. Například rack se 72 grafickými procesory Nvidia B200 má

Číst dále »

9 listopadu, 2024

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz

ICT NETWORK NEWS by AVERIA LTD. © 2024 – Osobní údaje – Cookies
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom