Ransomware: Neue Helldown-Version : Helldown zielt auf VMware und Linux-Systeme ab
Die neu entdeckte Helldown-Ransomware hat ihr Angriffsziel erweitert: Erstmals geraten VMware- und Linux-Systeme ins Visier. Experten sehen eine bedrohliche Weiterentwicklung, die virtualisierte Umgebungen angreift. Sicherheitslücken und ausgefeilter Code stehen im Fokus der Analyse.
Helldown nutzt Windows-Ransomware, die auf dem Code von LockBit 3.0 basiert, wie der Cybersicherheitsbericht von Sekoia erklärt. Mit der zunehmenden Ausrichtung von Ransomware auf ESX-Server könnte die Gruppe ihre Angriffe künftig stärker auf virtualisierte Umgebungen ausweiten, die über VMware kommen.
Die aggressive Ransomware-Gruppe wurde erstmals Mitte August 2024 von Halcyon öffentlich dokumentiert. Sie infiltriert Zielnetzwerke, indem sie Sicherheitslücken ausnutzt. Die am häufigsten angegriffenen Unternehmen kommen aus den Bereichen IT-Dienstleistungen, Telekommunikation, Fertigung und das Gesundheitswesen.
Wie viele andere Ransomware-Gruppen nutzt Helldown sogenannte Datenleck-Seiten, um Opfer unter Druck zu setzen: Die Kriminellen drohen, gestohlene Daten dort zu veröffentlichen, falls kein Lösegeld gezahlt wird. Diese Methode, bekannt als „doppelte Erpressung“, hat es der Gruppe ermöglicht, in nur drei Monaten mindestens 31 Unternehmen anzugreifen.
Eine Analyse von Truesec beschreibt die Angriffsketten von Helldown im Detail. Demnach nutzt die Gruppe Sicherheitslücken in Zyxel-Firewalls, um Zugang zu Netzwerken zu erlangen. Anschließend sichern sich die Angreifer ihre Position, sammeln Anmeldeinformationen, scannen das Netzwerk, umgehen Sicherheitsmaßnahmen und bewegen sich seitlich im System, bevor sie die Ransomware einsetzen. Neuere Erkenntnisse des französischen Cybersicherheitsunternehmen Sekoia bestätigen das – und zeigen darüber hinaus, dass die Helldown-Akteure Anmeldeinformationen stehlen und SSL-VPN-Tunnel mit temporären Benutzern einrichten.
Die Windows-Version von Helldown durchläuft nach dem Start mehrere Schritte, bevor sie Dateien exfiltriert und verschlüsselt. Dazu gehören das Löschen von Schattenkopien des Systems sowie das Beenden von Prozessen, die mit Datenbanken und Microsoft Office zusammenhängen. Im letzten Schritt wird die Ransomware-Datei gelöscht, um Spuren zu verwischen, eine Lösegeldforderung hinterlassen und der Computer heruntergefahren.
Wie unterscheidet sich die neue Helldown-Variante?
Die Linux-Variante unterscheidet sich in einigen Aspekten. Laut Secoia fehlen ihr Mechanismen zur Verschleierung und zur Verhinderung von Debugging. Dafür hat sie präzise Funktionen zum Durchsuchen und Verschlüsseln von Dateien. Bevor sie aktiv wird, listet sie jedoch alle laufenden virtuellen Maschinen (VMs) auf und löscht diese.
„Unsere Analyse zeigte weder Netzwerkkommunikation noch die Verwendung eines öffentlichen Schlüssels oder eines gemeinsamen Geheimnisses“, heißt es. „Das wirft Fragen auf, wie die Angreifer ein Entschlüsselungstool bereitstellen könnten.“
Eine Besonderheit ist, dass das Beenden von VMs der Ransomware Schreibzugriff auf Image-Dateien ermöglicht. Dennoch zeigen sowohl statische als auch dynamische Analysen, dass diese Funktion zwar im Code vorhanden ist, aber nicht ausgeführt wird. Diese Beobachtungen legen nahe, dass die Linux-Version von Helldown noch halb gar ist und wahrscheinlich noch weiterentwickelt wird.
Die Windows-Artefakte von Helldown zeigen Verhaltensähnlichkeiten mit DarkRace, das im Mai 2023 auf Basis des LockBit-3.0-Codes entstand und später unter dem Namen DoNex weitergeführt wurde. Ein Entschlüsselungstool für DoNex wurde bereits im Juli 2024 von Avast veröffentlicht.
„Beide Codes sind Varianten von LockBit 3.0“, so Sekoia. „Angesichts der Geschichte von DarkRace und DoNex sowie ihrer Ähnlichkeiten mit Helldown ist es möglich, dass Helldown ein weiteres Rebranding darstellt. Diese Verbindung lässt sich jedoch bisher nicht abschließend bestätigen.“
Weitere Ransomware-Familien im Überblick
Die Ereignisse gehen mit der Entdeckung einer neuen Ransomware-Familie namens Interlock durch Cisco Talos einher. Diese greift gezielt das Gesundheitswesen, die Technologiebranche, Regierungsorganisationen in den USA sowie Produktionsunternehmen in Europa an. Die Ransomware kann sowohl Windows- als auch Linux-Systeme verschlüsseln.
Bei den Angriffsketten, die die Ransomware verbreiten, wurde beobachtet, dass sie eine gefälschte Google-Chrome-Update-Datei verwenden, die auf einer eigentlich seriösen, aber kompromittierten Nachrichten-Website gehostet wird. Wenn diese Datei ausgeführt wird, installiert sie einen Remote-Access-Trojaner (RAT), der den Angreifern ermöglicht, sensible Daten zu stehlen und PowerShell-Befehle auszuführen. Diese Befehle dienen dazu, Schadsoftware einzuschleusen, die Anmeldeinformationen sammelt und das Netzwerk auskundschaftet.
„Im eigenen Blog behauptet Interlock, die Infrastruktur von Unternehmen durch Ausnutzung ungepatchte Sicherheitslücken anzugreifen. Ziel der Angriffe sei aber nicht nur finanzieller Gewinn, sondern auch, Unternehmen für mangelhafte Cybersicherheit zur Verantwortung zu ziehen“, so die Experten von Talos.
„Die Verbindung zwischen Interlock und Rhysida würde zu größeren Trends in der Bedrohungslandschaft passen“, so die Forscher. Sie beobachten, dass Ransomware-Gruppen ihre Methoden zunehmend diversifizieren, komplexere Angriffe durchführen und häufiger mit anderen Gruppen kooperieren.
Zeitgleich mit dem Auftauchen von Helldown und Interlock gibt es einen weiteren Neuzugang im Ransomware-Ökosystem namens SafePay. Diese Gruppe behauptet, bisher 22 Unternehmen angegriffen zu haben. Laut Huntress basiert auch SafePay auf dem Code von LockBit 3.0, was darauf hindeutet, dass das Durchsickern des LockBit-Quellcodes mehrere neue Varianten hervorgebracht hat.
In zwei von Huntress untersuchten Vorfällen wurde festgestellt, dass die Aktivitäten der Angreifer von einem VPN-Gateway oder -Portal ausgingen. Alle beobachteten IP-Adressen, die den Arbeitsstationen der Angreifer zugewiesen waren, lagen im internen Adressbereich. „Die Angreifer konnten gültige Zugangsdaten nutzen, um auf Endgeräte von Kunden zuzugreifen“, erklärten die Sicherheitsspezialisten. „Es wurde jedoch nicht beobachtet, dass sie Remote-Desktop-Protokolle aktivierten, neue Benutzerkonten erstellten oder andere Maßnahmen zur dauerhaften Kontrolle des Systems einrichteten.“