Una amenaza emergente en constante evolución
El ransomware Helldown ha comenzado a ganar notoriedad desde su aparición en el verano de 2024. Según reportes de investigadores, este grupo de amenazas está explotando vulnerabilidades en dispositivos de seguridad de Zyxel para acceder a redes corporativas, robar datos y cifrar dispositivos.
Aunque no se considera un actor principal en el espacio del ransomware, Helldown ha listado hasta 31 víctimas en su portal de extorsión, mayormente pequeñas y medianas empresas de Estados Unidos y Europa. Actualmente, el número ha bajado a 28, lo que podría indicar el pago de rescates por parte de algunos afectados.
Explotación de firewalls Zyxel
Una de las principales técnicas de acceso de Helldown parece ser la explotación de vulnerabilidades en los firewalls de Zyxel. Según Sekoia, al menos ocho víctimas utilizaban firewalls Zyxel con acceso VPN IPSec en el momento del ataque.
CVE-2024-42057: Una vulnerabilidad crítica
La investigación conecta a Helldown con el uso del CVE-2024-42057, una vulnerabilidad de inyección de comandos en VPN IPSec que permite a un atacante no autenticado ejecutar comandos en el sistema operativo. Zyxel corrigió esta vulnerabilidad en septiembre de 2024 con la actualización de firmware versión 5.39, pero Helldown podría estar aprovechando exploits privados de esta falla para atacar sistemas no actualizados.
Además, se sospecha de una segunda vulnerabilidad no documentada, cuyos detalles Sekoia compartió directamente con el equipo de respuesta a incidentes de Zyxel (PSIRT).
Ataques y tácticas observadas
Métodos de acceso
Helldown utiliza cuentas maliciosas como OKSDW82A y archivos de configuración sospechosos como zzz1.conf para establecer conexiones VPN seguras, moverse lateralmente dentro de las redes y desactivar defensas de endpoints.
Herramientas de cifrado básicas
Aunque Helldown ha adoptado el constructor filtrado de LockBit 3 para su ransomware en Windows, sus métodos aún son rudimentarios en comparación con otros actores avanzados. Por ejemplo, emplean archivos batch para terminar procesos en lugar de integrarlos directamente en el malware.
Amplitud del robo de datos
En lugar de tácticas selectivas, los operadores de Helldown publican grandes volúmenes de datos robados, con paquetes que alcanzan hasta 431 GB. Esta estrategia puede ejercer una presión adicional sobre las víctimas para pagar el rescate.
Variantes de Helldown: Windows y Linux
El ransomware para Windows ha mostrado similitudes operativas con Darkrace y Donex, mientras que la variante Linux se enfoca en servidores VMware y características como el listado y eliminación de máquinas virtuales. No obstante, la funcionalidad en Linux aún está en desarrollo.
Recomendaciones de seguridad
- Actualizar firmware: Los administradores que utilicen firewalls Zyxel deben instalar la versión de firmware 5.39 o superior para mitigar riesgos.
- Monitorizar actividades sospechosas: Verificar la creación de cuentas inesperadas como OKSDW82A y configuraciones no autorizadas en dispositivos.
- Implementar seguridad multicapa: Utilizar autenticación multifactor (MFA) y soluciones de monitoreo de tráfico de red para detectar actividades anómalas.
- Seguir mejores prácticas de ciberseguridad: Limitar el acceso VPN a usuarios esenciales y aplicar políticas de contraseñas robustas.
Conclusión
Helldown representa un ejemplo claro de cómo los grupos de ransomware están evolucionando para explotar vulnerabilidades específicas en dispositivos de seguridad. Empresas de todos los tamaños deben mantenerse alerta, implementar actualizaciones críticas y adoptar una postura proactiva en ciberseguridad para proteger sus redes.
Indicadores de compromiso
Type | Value |
---|---|
domain | onyxcgfg4pjevvp5h34zvhaj45kbft3dg5r33j5vu3nyp7xic3vrzvad[.]onion |
domain | onyxcb44xvqra35m3lp3z26kf2pxrlbn64nbzvyvzjyc3uykzrwcjdid[.]onion |
domain | onyxcym4mjilrsptk5uo2dhesbwntuban55mvww2olk5ygqafhu3i3yd[.]onion |
domain | helldown[.]org |