Helldown Ransomware: nuova minaccia emergente

Helldown è un nuovo attore nel campo del ransomware, noto per utilizzare tecniche avanzate di estorsione e per colpire sia sistemi Windows che Linux, tra cui infrastrutture virtualizzate come VMware ESX. Recenti analisi di Sekoia e altri gruppi di ricerca hanno identificato Helldown come una minaccia significativa, con un focus particolare su vulnerabilità critiche in dispositivi Zyxel utilizzati come punti di accesso VPN. Questo ransomware si distingue per il volume dei dati rubati e per la sua potenziale connessione con varianti precedenti di ransomware come Darkrace e Donex.

Helldown: caratteristiche e modalità di attacco

Helldown è stato inizialmente identificato nell’agosto 2024 e da allora ha colpito 31 vittime in soli tre mesi, principalmente piccole e medie imprese, con alcuni attacchi anche a grandi aziende come Zyxel Europe. Il gruppo utilizza una strategia di doppia estorsione, esfiltrando grandi quantità di dati prima di crittografarli e minacciando di pubblicarli su un sito onion se il riscatto non viene pagato.

L’accesso iniziale viene spesso ottenuto sfruttando vulnerabilità nei firewall Zyxel, in particolare la CVE-2024-42057, che consente l’esecuzione di codice senza autenticazione. Dopo aver compromesso i firewall, gli attaccanti utilizzano credenziali LDAP sincronizzate per espandersi ulteriormente nella rete. Una volta all’interno, Helldown elimina copie shadow, termina processi attivi e crittografa file, creando una nota di riscatto personalizzata.

Analisi tecnica: ransomware per Windows e Linux

Su Windows, Helldown esegue azioni dirette dalla configurazione codificata nel payload:

• Cancellazione delle copie shadow e terminazione dei processi per assicurare una crittografia completa.
• Crittografia file utilizzando chiavi generate casualmente, che vengono salvate in formato RSA per decifrazione futura.
• Eliminazione di tracce: il ransomware cancella script e payload prima di spegnere il sistema.

La variante Linux, scoperta per la prima volta nell’ottobre 2024, si focalizza su server VMware ESX, interrompendo le macchine virtuali prima di crittografarne i file. La crittografia è eseguita tramite algoritmi RSA e Salsa20, con chiavi memorizzate localmente nei file cifrati, pronte per essere recuperate dagli attaccanti.

Connessioni con altre famiglie di ransomware

Helldown mostra somiglianze tecniche con ransomware come Darkrace e Donex, entrambi derivati dal codice trapelato di LockBit 3. Anche se non è stata confermata una relazione diretta, i parallelismi nella configurazione XML e nei metodi di attacco suggeriscono che Helldown possa essere una rebrand delle varianti precedenti.

Helldown rappresenta una minaccia emergente che combina attacchi mirati a infrastrutture critiche con tattiche di estorsione evolute. Sebbene il ransomware non sia altamente sofisticato, la sua capacità di sfruttare vulnerabilità non documentate lo rende particolarmente efficace. È fondamentale, secondo Sekoia, per le organizzazioni aggiornare regolarmente firmware e applicare le patch di sicurezza più recenti, in particolare per dispositivi come i firewall Zyxel.