Cảnh báo ransomware nguy hiểm “Helldown" đang mở rộng sang Linux và VMware

Chủng mã độc tống tiền (ransomware) nguy hiểm có tên "Helldown", được phát hiện đầu tiên vào hồi giữa năm nay trên Windows, hiện đang nhắm mục tiêu vào các hệ thống VMware và môi trường Linux. Đây là động thái gây ra mối lo ngại nghiêm trọng trong cộng đồng chuyên gia gia an ninh mạng toàn cầu, cho thấy rằng những kẻ tấn công đứng sau mã độc đã tìm ra phương thức mới để khai thác lỗ hổng trên nhiều nền tảng hệ điều hành khác nhau.

Helldown lần đầu tiên thu hút sự chú ý vào giữa năm 2024, khi nó nhắm mục tiêu đồng loạt vào các hệ thống Windows trên toàn thế giới. Ransomware này mượn nền tảng từ LockBit 3.0, vốn cũng một họ ransomware khét tiếng và cho thấy sự trùng lặp về hành vi với các chủng mã độc khác như Darkrace và Donex. Biến thể Linux mới nhất của Helldown nguy hiểm hơn ở chỗ nó có thể nhắm mục tiêu vào cả các máy ảo (VM) của VMware, nhằm mục đích tiêu diệt các VM đang hoạt động trước khi mã hóa. Tuy nhiên, điều thú vị là các nhà nghiên cứu phát hiện ra rằng tính năng này vẫn chưa hoạt động đầy đủ, cho thấy nó vẫn đang trong quá trình phát triển.

Về phía Windows, các chiến thuật của Helldown, ít được tinh chỉnh hơn so với các chủng ransomware nâng cao khác.

Về phía Windows, các chiến thuật lây nhiễm độc hại của Helldown ít được tinh chỉnh hơn so với những chủng ransomware nâng cao khác. Ví dụ, nó sử dụng các tệp hàng loạt để chấm dứt các quá trình thay vì các phương thức nhúng tinh vi hơn. Mặc dù vậy, việc tập trung vào các máy ảo làm tê liệt và mã hóa dữ liệu cho thấy những kẻ tấn công đang lên kế hoạch cho một cái gì đó quy mô và nguy hiểm hơn.

Một khía cạnh chính trong chuỗi tấn công của Helldown Ransomware là việc sử dụng các lỗ hổng trong các thiết bị VPN của Zyxel. Cụ thể, nó khai thác lỗ hổng CVE-2024-42057, lỗ hổng tiêm lệnh trong VPN IPSEC, cho phép kẻ tấn công thực thi các lệnh HĐH bằng tên người dùng được chế tạo.Những kẻ tấn công khai thác các lỗ hổng không phù hợp để vi phạm mạng lưới. Khi đã lọt vào trong, chúng sẽ sử dụng các công cụ đơn giản nhưng hiệu quả để leo thang các đặc quyền, vô hiệu hóa bảo mật và dữ liệu exfiltrate.

Biến thể Linux của Helldown lại có phần ít phức tạp hơn hẳn so với trên Windows, vì thiếu các thủ thuật trốn tránh phổ biến như obfuscation. Sự đơn giản này cho thấy mã độc vẫn đang trong quá trình phát triển, nhưng vẫn nguy hiểm. Còn việc nhắm mục tiêu vào VM cho phép các nhà khai thác ransomware tối đa hóa thiệt hại. Bằng cách lấy VMS, chúng có thể phá vỡ các hoạt động quan trọng trong lĩnh vực CNTT và các ngành công nghiệp khác.

Mọi hoạt động của mã độc đều hàng được quan sát kỹ lưỡng. Quản Trị Mạng sẽ tiếp tục cập nhật thông tin về chủng Ransomware này, mời các bạn chú ý theo dõi.

Thứ Tư, 20/11/2024 19:50
55 👨 1.067
0 Bình luận
Sắp xếp theo
    ❖ Tấn công mạng