On pense que la nouvelle opération de ransomware « Hell down » cible les vulnérabilités des pare-feu Zyxel pour violer les réseaux d’entreprise, leur permettant de voler des données et de crypter des appareils.
La société française de cybersécurité Sekoia rapporte cela avec une confiance moyenne sur la base d’observations récentes d’attaques infernales.
Bien qu’il ne fasse pas partie des principaux acteurs du secteur des ransomwares, Hell down s’est rapidement développé depuis son lancement au cours de l’été, répertoriant de nombreuses victimes sur son portail d’extorsion de données.
Découverte et aperçu de l’enfer
Hell down a été documenté pour la première fois par Cyfirma le 9 août 2024, puis à nouveau par Cyberith le 13 octobre, décrivant tous deux brièvement la nouvelle opération de ransomware.
Le premier rapport d’une variante Linux du ransomware Hell down ciblant les fichiers VMware est venu du chercheur en sécurité de 360NetLab Alex Turing le 31 octobre.
La variante Linux propose du code pour répertorier et tuer les machines virtuelles pour crypter les images, cependant, ses fonctions ne sont que partiellement invoquées, ce qui indique qu’elle est peut-être encore en développement.
Sekoia rapporte que He ll down pour Windows est basé sur le constructeur de bits de verrouillage 3 divulgué et présente des similitudes opérationnelles avec Darkrace et Donex. Cependant, aucun lien définitif n’a pu être établi sur la base des preuves disponibles.
Au 7 novembre 2024, le groupe de menaces répertoriait 31 victimes sur son portail d’extorsion récemment renouvelé, principalement des petites et moyennes entreprises basées aux États-Unis et en Europe. À ce jour, le nombre est tombé à 28, indiquant potentiellement que certains avaient payé une rançon.
Sekoia affirme que Helldown n’est pas aussi sélectif dans les données qu’il vole que d’autres groupes suivant des tactiques plus efficaces et publie de gros packs de données sur son site Web, atteignant jusqu’à 431 Go dans un cas.
L’une des victimes répertoriées est Zyxel Europe, un fournisseur de solutions de réseautage et de cybersécurité.
Les chiffrements du groupe ne semblent pas très avancés, les acteurs de la menace utilisant des fichiers batch pour terminer les tâches plutôt que d’incorporer cette fonctionnalité directement dans le logiciel malveillant.
Lors du cryptage des fichiers, les auteurs de la menace généreront une chaîne de victime aléatoire, telle que « FGqogsxF », qui sera utilisée comme extension pour les fichiers cryptés. La demande de rançon utilise également cette chaîne de victime dans son nom de fichier, comme » Lisez-moi.FGqogsxF.TXT ».
Preuves pointant vers l’exploitation du Zyxel
Travaillant à partir d’une piste Zyxel Europe, Sekoia a découvert qu’au moins huit victimes répertoriées sur le site Web Helldown utilisaient des pare-feu Zyxel comme points d’accès VPN IPSec au moment de leur violation.
Ensuite, Sekoia a remarqué qu’un rapport Truesec du 7 novembre mentionne l’utilisation d’un compte malveillant nommé ‘OKSDW82A’ dans les attaques Helldown ainsi qu’un fichier de configuration (‘zzz1.conf’) utilisé dans le cadre d’une attaque ciblant des périphériques basés sur MIPS, éventuellement des pare-feu Zyxel.
Les auteurs de la menace ont utilisé ce compte pour établir une connexion sécurisée via VPN SSL aux réseaux de la victime, accéder aux contrôleurs de domaine, se déplacer latéralement et désactiver les défenses des terminaux.
En enquêtant plus avant, Sekoia a trouvé des rapports sur la création d’un compte utilisateur suspect « OKSDW82A » et d’un fichier de configuration « zzz1 ».conf ‘ sur les forums Zyxel, où les administrateurs de l’appareil ont signalé qu’ils utilisaient la version 5.38 du micrologiciel.
Sur la base de la version, les chercheurs de Sekoia émettent l’hypothèse que Helldown pourrait utiliser CVE-2024-42057, une injection de commande dans le VPN IPSec qui permet à un attaquant non authentifié d’exécuter des commandes du système d’exploitation avec un nom d’utilisateur long contrefait en mode PSK basé sur l’utilisateur.
Le problème a été résolu le 3 septembre avec la sortie de la version 5.39 du firmware, et les détails d’exploitation n’ont pas encore été rendus publics, donc Helldown est soupçonné d’avoir accès à des exploits privés n-day.
De plus, Sekoia a découvert des charges utiles téléchargées sur VirusTotal depuis la Russie entre le 17 et le 22 octobre, mais la charge utile était incomplète.
« Il contient une chaîne codée en base64 qui, une fois décodée, révèle un binaire ELF pour l’architecture MIPS », explique Jeremy Scion, chercheur chez Sekoia.
« La charge utile, cependant, semble incomplète. Sekoia évalue avec une confiance moyenne que ce fichier est probablement lié au compromis Zyxel mentionné précédemment. »
Breachtrace a contacté Zyxel avec des questions sur ces attaques mais n’a pas reçu de réponse pour le moment.