Helldown: El Nuevo Ransomware que Explota Vulnerabilidades en Firewalls Zyxel

Una amenaza emergente en constante evolución

El ransomware Helldown ha comenzado a ganar notoriedad desde su aparición en el verano de 2024. Según reportes de investigadores, este grupo de amenazas está explotando vulnerabilidades en dispositivos de seguridad de Zyxel para acceder a redes corporativas, robar datos y cifrar dispositivos.

Aunque no se considera un actor principal en el espacio del ransomware, Helldown ha listado hasta 31 víctimas en su portal de extorsión, mayormente pequeñas y medianas empresas de Estados Unidos y Europa. Actualmente, el número ha bajado a 28, lo que podría indicar el pago de rescates por parte de algunos afectados.

Explotación de firewalls Zyxel

Una de las principales técnicas de acceso de Helldown parece ser la explotación de vulnerabilidades en los firewalls de Zyxel. Según Sekoia, al menos ocho víctimas utilizaban firewalls Zyxel con acceso VPN IPSec en el momento del ataque.

CVE-2024-42057: Una vulnerabilidad crítica

La investigación conecta a Helldown con el uso del CVE-2024-42057, una vulnerabilidad de inyección de comandos en VPN IPSec que permite a un atacante no autenticado ejecutar comandos en el sistema operativo. Zyxel corrigió esta vulnerabilidad en septiembre de 2024 con la actualización de firmware versión 5.39, pero Helldown podría estar aprovechando exploits privados de esta falla para atacar sistemas no actualizados.

Además, se sospecha de una segunda vulnerabilidad no documentada, cuyos detalles Sekoia compartió directamente con el equipo de respuesta a incidentes de Zyxel (PSIRT).

Ataques y tácticas observadas

Métodos de acceso

Helldown utiliza cuentas maliciosas como OKSDW82A y archivos de configuración sospechosos como zzz1.conf para establecer conexiones VPN seguras, moverse lateralmente dentro de las redes y desactivar defensas de endpoints.

Herramientas de cifrado básicas

Aunque Helldown ha adoptado el constructor filtrado de LockBit 3 para su ransomware en Windows, sus métodos aún son rudimentarios en comparación con otros actores avanzados. Por ejemplo, emplean archivos batch para terminar procesos en lugar de integrarlos directamente en el malware.

Helldown: El Nuevo Ransomware que Explota Vulnerabilidades en Firewalls Zyxel
Amplitud del robo de datos

En lugar de tácticas selectivas, los operadores de Helldown publican grandes volúmenes de datos robados, con paquetes que alcanzan hasta 431 GB. Esta estrategia puede ejercer una presión adicional sobre las víctimas para pagar el rescate.

Helldown: El Nuevo Ransomware que Explota Vulnerabilidades en Firewalls Zyxel

Variantes de Helldown: Windows y Linux

El ransomware para Windows ha mostrado similitudes operativas con Darkrace y Donex, mientras que la variante Linux se enfoca en servidores VMware y características como el listado y eliminación de máquinas virtuales. No obstante, la funcionalidad en Linux aún está en desarrollo.

Recomendaciones de seguridad

  1. Actualizar firmware: Los administradores que utilicen firewalls Zyxel deben instalar la versión de firmware 5.39 o superior para mitigar riesgos.
  2. Monitorizar actividades sospechosas: Verificar la creación de cuentas inesperadas como OKSDW82A y configuraciones no autorizadas en dispositivos.
  3. Implementar seguridad multicapa: Utilizar autenticación multifactor (MFA) y soluciones de monitoreo de tráfico de red para detectar actividades anómalas.
  4. Seguir mejores prácticas de ciberseguridad: Limitar el acceso VPN a usuarios esenciales y aplicar políticas de contraseñas robustas.

Conclusión

Helldown representa un ejemplo claro de cómo los grupos de ransomware están evolucionando para explotar vulnerabilidades específicas en dispositivos de seguridad. Empresas de todos los tamaños deben mantenerse alerta, implementar actualizaciones críticas y adoptar una postura proactiva en ciberseguridad para proteger sus redes.

Indicadores de compromiso

Type Value
domain onyxcgfg4pjevvp5h34zvhaj45kbft3dg5r33j5vu3nyp7xic3vrzvad[.]onion
domain onyxcb44xvqra35m3lp3z26kf2pxrlbn64nbzvyvzjyc3uykzrwcjdid[.]onion
domain onyxcym4mjilrsptk5uo2dhesbwntuban55mvww2olk5ygqafhu3i3yd[.]onion
domain helldown[.]org
Related Posts
Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.