Helldown llamó la atención por primera vez a mediados de 2024, cuando atacó a los sistemas Windows.
Se basa en LockBit 3.0, una conocida familia de ransomware. Su última variante para Linux va dirigida a las máquinas virtuales (VM) de VMware, con el objetivo de matar las VM activas antes del cifrado.
La variante de Windows utiliza configuraciones basadas en XML para dirigir las tareas de cifrado y se basa en características como claves codificadas y verificaciones de privilegios de administrador.
Helldown utiliza la explotación de vulnerabilidades en dispositivos Zyxel para obtener acceso inicial a las redes, seguido de actividades como recolección de credenciales y movimientos laterales para desplegar el ransomware.
Los atacantes aprovechan vulnerabilidades no parcheadas para vulnerar las redes. Una vez dentro, utilizan herramientas sencillas pero eficaces para aumentar los privilegios, desactivar la seguridad y extraer datos. La variante de Linux llama la atención porque, a diferencia de su homóloga de Windows, carece de trucos de evasión habituales como la ofuscación. Esta simplicidad sugiere que se trata de un trabajo en proceso, pero sigue siendo peligroso.
El ataque a las máquinas virtuales permite a los operadores de ransomware maximizar el daño.
Al eliminar las máquinas virtuales, pueden interrumpir operaciones críticas en TI y otras industrias.
El ransomware Helldown se observó por primera vez en agosto de 2024 y está asociado con un actor de amenazas conocido como Greppy.
