Desde agosto de 2023, a variante de ransomware conhecida como “Helldown” emergiu como uma ameaça crescente e altamente destrutiva. Este malware, possivelmente baseado na variante LockBit, se destacou ao atingir servidores VMware ESXi em organizações de vários setores, incluindo transporte, saúde e tecnologia da informação. A seguir, analisaremos os vetores de ataque, as vulnerabilidades exploradas e as práticas recomendadas para mitigar o risco.
O Foco em Sistemas VMware ESXi
O Helldown chamou a atenção por sua adaptação às infraestruturas modernas, explorando servidores VMware ESXi amplamente usados em ambientes virtualizados. Essa mudança reflete uma evolução estratégica dos operadores de ransomware, que buscam maximizar o impacto de seus ataques em ambientes críticos.
Parece que essa tendência evidencia um alerta claro para as equipes de segurança: é essencial tratar ambientes virtualizados com o mesmo rigor que os sistemas tradicionais, aplicando patches e monitorando atividades incomuns.
Vulnerabilidades em Firewalls Zyxel: Porta de Entrada para o Helldown
Uma característica marcante das campanhas do Helldown é o uso de firewalls Zyxel como ponto de entrada inicial. A pesquisa da Sekoia indica que os atacantes exploraram vulnerabilidades potencialmente não documentadas no firmware Zyxel, criando contas temporárias e túneis VPN para acessar redes internas. O arquivo suspeito “zzz1.conf” e a criação de um usuário chamado “OKSDW82A” foram observados em sistemas comprometidos.
Embora a Zyxel tenha lançado correções para vulnerabilidades em agosto de 2023, após um ataque significativo que resultou no vazamento de 250 GB de dados, a exploração continua sendo uma preocupação devido à falta de código público de exploração dessas falhas.
Técnicas de Intrusão e Persistência
Os atacantes do Helldown empregam uma combinação de ferramentas legítimas e métodos de “living-off-the-land” para dificultar a detecção. As técnicas incluem:
- Desativação de mecanismos de detecção: Utilizando ferramentas como o HRSword.
- Movimentação lateral: Via RDP padrão do Windows e TeamViewer.
- Execução de código remoto: Com PowerShell e PSExec.
- Roubo de credenciais: Utilizando Mimikatz para extrair informações sensíveis.
Além disso, há evidências de que os operadores do Helldown removem ferramentas usadas durante a intrusão e sobrescrevem o espaço livre em discos rígidos para dificultar a recuperação forense.
Perfil de Dados Roubados
O Helldown se diferencia pela escala e variedade dos dados roubados. Relatórios indicam que os arquivos extraídos das vítimas são significativamente maiores do que o comum, com alguns chegando a 431 GB. A falta de seletividade nos dados sugere que os operadores visam aumentar a pressão para pagamento de resgates, roubando arquivos administrativos, como PDFs e digitalizações de documentos.
Semelhanças com variantes como Darkrace e Donex levantam a hipótese de que o Helldown seja uma rebranding dessas linhagens. Essas conexões não foram confirmadas, mas apontam para uma linhagem comum dentro do ecossistema LockBit.
Recomendações para Mitigação
Dada a sofisticação do Helldown, é crucial implementar medidas preventivas e de resposta para reduzir o risco de comprometimento:
- Atualizações e Patches:
- Aplique todas as atualizações de segurança disponíveis para firewalls, servidores e sistemas operacionais.
- Priorize atualizações em produtos vulneráveis, como firewalls Zyxel e servidores VMware ESXi.
- Monitoramento e Detecção:
- Implemente ferramentas de monitoramento que detectem atividades incomuns, como a criação de contas não autorizadas ou o uso de ferramentas como PowerShell.
- Configure alertas para tentativas de movimentação lateral e alterações não autorizadas na rede.
- Proteção de Credenciais:
- Limite o uso de ferramentas como RDP e garanta que as credenciais sejam armazenadas com segurança.
- Implemente autenticação multifator em todos os sistemas críticos.
- Resposta a Incidentes:
- Tenha um plano de recuperação para minimizar o impacto de ataques.
- Realize backups regulares e armazene-os fora da rede principal.
O Helldown representa um avanço preocupante nas táticas de ransomware, focando em infraestruturas virtualizadas críticas e explorando vulnerabilidades desconhecidas. Para proteger suas operações, as organizações devem tratar todos os sistemas, virtuais ou físicos, com máxima prioridade em segurança. O fortalecimento de defesas, combinado com estratégias de monitoramento e resposta, é essencial para mitigar o impacto desse tipo de ameaça emergente.
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.
