Исследователи обнаружили, что злоумышленники атаковали десятки компаний с помощью вируса-вымогателя Helldown.
Getty Images через Getty Images
Краткий обзор:
- Многие государственные органы и исследователи безопасности предупреждают об уязвимости обхода каталогов в межсетевых экранах Zyxel Networks, которую злоумышленники активно используют для развертывания вируса-вымогателя Helldown.
- Уязвимость, обозначенная как CVE-2024-11667, с оценкой CVSS 7,5, находится в веб-интерфейсе управления прошивки брандмауэра Zyxel ZLD версий 5.00–5.38 и может позволить злоумышленнику загружать или выгружать файлы через созданный URL. Во вторник Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE в свой каталог известных эксплуатируемых уязвимостей.
- Zyxel в своем блоге подтвердила, что знает о недавних попытках эксплуатации уязвимости после разоблачений исследователей безопасности из Sekoia. Компания призывает пользователей немедленно обновить прошивку и сменить пароли администратора.
Dive Insight:
Власти Германии вместе с должностными лицами Zyxel в конце ноября предупредили об уязвимости в брандмауэрах Zyxel, которая эксплуатируется для развертывания программы-вымогателя Helldown.
В среду немецкие должностные лица сообщили Cybersecurity Dive, что Helldown основан на общедоступном конструкторе программы-вымогателя LockBit, который использовался в качестве основы для создания различных версий программ-вымогателей.
Helldown впервые был замечен в августе и назвал около 32 жертв на своем сайте утечки, прежде чем сайт стал недоступен 21 ноября, по словам представителя немецкого CERT.
Большинство целевых компаний были малыми и средними, однако несколько были более крупными организациями, по словам Sekoia. Большинство жертв находились в Соединенных Штатах.
Исследователи из Sekoia сообщили Cybersecurity Dive, что некоторые жертвы использовали устаревшие версии брандмауэров, которые больше не поддерживаются, но другие все еще использовали более свежие версии с поддерживаемой прошивкой.
Исследователи из Truesec сообщили, что злоумышленники были замечены за созданием локальных учетных записей на брандмауэрах Zyxel и загрузкой Mimikatz для сброса учетных данных в активный каталог целевых компаний. Злоумышленники также загружали продвинутые сканеры портов с GitHub.
Исследователи увидели, что злоумышленники отключают антивирусное программное обеспечение, а также развертывают Teamviewer или используют стандартные инструменты протокола удаленного рабочего стола Windows для перемещения по целевым сетям.
