Helldownはランサムウェアです。
グループそのものも登場が最近で、最初に活動が確認されたのは2024年8月でした。
当時はHelldownはWindows環境をターゲットとし歌活動を展開していました。
最近、このHelldownの活動がLinux環境にも拡大していることが確認されました。
- 入口
Helldownの侵害の開始は、脆弱性の悪用から始まります。
最近の活動では、Zyxelの脆弱性が悪用されていました。
この脆弱性は、製品にハードコードされた管理者レベルのアカウントの情報があるというものでしたので、破壊力の大きなものとなっています。
脆弱な状態の機器には容易に管理者権限でアクセスを獲得することができます。 - Helldownの機能
Helldownはランサムウェアで、次の機能を有します。
構成情報の読み込み、ターゲットファイルの検索、暗号化の実行、身代金要求メモの設置です。
ターゲットファイルは、Linux版においてはESXiで使用されるvmdkファイルなどが選択されます。
この指定は構成情報の読み込みの機能でランサムウェアの一部として展開されるXMLから読み取られます。 - 難読化されていない
Helldownのコードは単純です。
そして、難読化は現時点では実施されていません。 - デバッグ防止機能はない
Helldownのコードは単純です。
そして、デバッグ防止機能は現時点では実装されていません。
調査時点では、Helldownの悪用した脆弱性の内容はZyxelのユーザフォーラムにある脆弱性の情報と一致するものであることが確認されていますが、時間軸で考えると、Helldownはユーザフォーラムに情報があがる前に、なんらかの方法でその脆弱性の情報を確認済みだったことが考えられます。
マイナス時間軸のゼロデイ攻撃というところがHelldownの特徴なのかもしれません。
Helldownの活動は、もともとはLockBit3のコードから派生したWindowsランサムウェアの使用から始まっていますが、独自のバイナリの作成へと進んでいるということに思えます。
まさに現在進行形で拡張されています。
防御側が選択できる対策は、いつも通りのものになりそうです。
自身の環境の機器群にパッチをタイムリーに適用する、ネットワークをセグメンテーションする、アクセス制御する、定期的なバックアップを実行する、従業員教育を徹底する、などです。
これらの対策を完全に実施できていたとしても、この類の脅威が完全に防御できるということにはならないかもしれませんが、脅威への対策としてはこれらを実施することになりそうです。
Helldown Ransomware: an overview of this emerging threat
https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/
| この記事をシェア |
|
|---|
