Новости 28 жертв за 3 месяца: Helldown вскрывает слабости сетевых устройств Zyxel

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Кибервымогатели прокладывают новый путь в корпоративные сети.


56osagsroynn6b3vlyh0f5juivab19ts.jpg


В киберпространстве набирает обороты новая операция вымогателей под названием Helldown, которая, как считают эксперты, использует уязвимости в межсетевых экранах Zyxel для проникновения в корпоративные сети. Для просмотра ссылки Войди или Зарегистрируйся французской компании Sekoia , такие атаки позволяют преступникам шифровать устройства и похищать данные.

С момента запуска летом 2024 года Helldown стремительно расширяет список жертв, публикуя данные о компаниях на своём портале. На сегодняшний день там числится 28 пострадавших, преимущественно небольших и средних организаций из США и Европы.

Helldown впервые Для просмотра ссылки Войди или Зарегистрируйся исследователями Cyfirma 9 августа, а позже исследован Cyberint Для просмотра ссылки Войди или Зарегистрируйся Интерес вызывает Linux-версия программы, направленная на файлы VMware. Её функционал пока активен лишь частично, что указывает на возможную стадию разработки.

Версия Helldown для Windows, как утверждает Sekoia, основана на утечке LockBit 3 и имеет общие черты с Darkrace и Donex. Однако установить прямую связь пока не удалось. Среди ключевых жертв — европейское подразделение компании Zyxel, поставщика сетевых решений и средств кибербезопасности.

Преступники отличаются менее избирательным подходом к данным, чем прочие группы, выгружая буквально всё подряд. Одна из утечек включала до 431 ГБ информации. Шифраторы Helldown работают через командные файлы, что подчёркивает их недостаточную технологическую сложность.

В ходе расследования Sekoia выявила использование учётной записи «OKSDW82A» и конфигурационного файла «zzz1.conf» для атак на устройства Zyxel с уязвимой прошивкой 5.38. Предполагается, что эксплуатируется уязвимость Для просмотра ссылки Войди или Зарегистрируйся исправленная в сентябре с выпуском версии 5.39.

Образцы вирусов, связанные с Helldown, были загружены в октябре. Хотя их код оказался неполным, эксперты уверены, что они связаны с атакой на Zyxel. На запросы журналистов о комментариях Zyxel пока не ответила. Однако 21 ноября компания Для просмотра ссылки Войди или Зарегистрируйся заверив, что прошивка версии 5.39 защищает от всех известных угроз.
 
Источник новости
www.securitylab.ru

Похожие темы