Peneliti keamanan siber telah menjelaskan varian Linux dari jenis ransomware yang relatif baru yang disebut Helldown, yang menunjukkan bahwa pelaku ancaman memperluas fokus serangan mereka.
“Helldown menyebarkan ransomware Windows yang berasal dari kode LockBit 3.0,” kata Sekoia dalam laporan yang dibagikan kepada The Hacker News. “Mengingat perkembangan ransomware yang menargetkan ESX baru-baru ini, tampaknya kelompok ini dapat mengembangkan operasinya saat ini untuk menargetkan infrastruktur virtual melalui VMware.”
Helldown pertama kali didokumentasikan secara publik oleh Halcyon pada pertengahan Agustus 2024, menggambarkannya sebagai “kelompok ransomware agresif” yang menyusup ke jaringan target dengan mengeksploitasi kerentanan keamanan. Beberapa sektor utama yang menjadi sasaran kelompok kejahatan dunia maya meliputi layanan TI, telekomunikasi, manufaktur, dan layanan kesehatan.
Seperti kru ransomware lainnya, Helldown dikenal memanfaatkan situs kebocoran data untuk menekan korban agar membayar uang tebusan dengan mengancam akan mempublikasikan data yang dicuri, sebuah taktik yang dikenal sebagai pemerasan ganda. Diperkirakan telah menyerang setidaknya 31 perusahaan dalam kurun waktu tiga bulan.
Truesec, dalam analisis yang diterbitkan awal bulan ini, merinci rantai serangan Helldown yang telah diamati menggunakan firewall Zyxel yang terhubung ke internet untuk mendapatkan akses awal, diikuti dengan melakukan persistensi, pengambilan kredensial, enumerasi jaringan, penghindaran pertahanan, dan aktivitas pergerakan lateral untuk akhirnya menyebarkan ransomware.
Analisis baru Sekoia menunjukkan bahwa penyerang menyalahgunakan kelemahan keamanan yang diketahui dan tidak diketahui pada peralatan Zyxel untuk menembus jaringan, menggunakan pijakan tersebut untuk mencuri kredensial dan membuat terowongan SSL VPN dengan pengguna sementara.
Helldown versi Windows, setelah diluncurkan, melakukan serangkaian langkah sebelum mengeksfiltrasi dan mengenkripsi file, termasuk menghapus salinan bayangan sistem dan menghentikan berbagai proses yang terkait dengan database dan Microsoft Office. Pada langkah terakhir, biner ransomware dihapus untuk menutupi jejaknya, catatan tebusan dihapus, dan mesin dimatikan.
Rekan Linux-nya, menurut perusahaan keamanan siber Prancis, tidak memiliki mekanisme kebingungan dan anti-debugging, serta menggabungkan serangkaian fungsi ringkas untuk mencari dan mengenkripsi file, tetapi sebelumnya mencantumkan dan mematikan semua mesin virtual (VM) yang aktif.
“Analisis statis dan dinamis tidak mengungkapkan adanya komunikasi jaringan, tidak ada kunci publik atau rahasia bersama,” katanya. “Hal ini penting, karena menimbulkan pertanyaan tentang bagaimana penyerang dapat menyediakan alat dekripsi.”
“Menghentikan VM sebelum enkripsi memberikan akses tulis ransomware ke file gambar. Namun, analisis statis dan dinamis mengungkapkan bahwa, meskipun fungsi ini ada dalam kode, fungsi ini tidak benar-benar dipanggil. Semua pengamatan ini menunjukkan bahwa ransomware tidak terlalu canggih dan mungkin masih dalam pengembangan.”
Artefak Helldown Windows ditemukan memiliki kesamaan perilaku dengan DarkRace, yang muncul pada Mei 2023 menggunakan kode dari LockBit 3.0 dan kemudian diganti namanya menjadi DoNex. Dekripsi untuk DoNex disediakan oleh Avast pada Juli 2024.
“Kedua kode tersebut merupakan varian dari LockBit 3.0,” kata Sekoia. “Mengingat sejarah rebranding Darkrace dan Donex serta kesamaan signifikan mereka dengan Helldown, kemungkinan Helldown menjadi rebranding lainnya tidak dapat diabaikan. Namun, hubungan ini tidak dapat dikonfirmasi secara pasti pada tahap ini.”
Perkembangan ini terjadi ketika Cisco Talos mengungkapkan keluarga ransomware baru lainnya yang dikenal sebagai Interlock yang menargetkan sektor kesehatan, teknologi, dan pemerintahan di AS, serta entitas manufaktur di Eropa. Itu mampu mengenkripsi mesin Windows dan Linux.
Rantai serangan yang mendistribusikan ransomware telah diamati menggunakan biner pembaru browser Google Chrome palsu yang dihosting di situs web berita yang sah namun disusupi, yang ketika dijalankan, melepaskan trojan akses jarak jauh (RAT) yang memungkinkan penyerang mengekstrak data sensitif dan mengeksekusi PowerShell perintah yang dirancang untuk menjatuhkan muatan untuk mengumpulkan kredensial dan melakukan pengintaian.
“Dalam blog mereka, Interlock mengklaim menargetkan infrastruktur organisasi dengan mengeksploitasi kerentanan yang belum diatasi dan mengklaim tindakan mereka sebagian dimotivasi oleh keinginan untuk meminta pertanggungjawaban perusahaan atas buruknya keamanan siber, selain keuntungan moneter,” kata peneliti Talos.
Interlock dinilai sebagai kelompok baru yang muncul dari operator atau pengembang Rhysida, perusahaan menambahkan, mengutip tumpang tindih dalam perdagangan, alat, dan perilaku ransomware.
“Kemungkinan afiliasi Interlock dengan operator atau pengembang Rhysida akan sejalan dengan beberapa tren yang lebih luas dalam lanskap ancaman dunia maya,” katanya. “Kami mengamati kelompok-kelompok ransomware mendiversifikasi kemampuan mereka untuk mendukung operasi yang lebih maju dan bervariasi, dan kelompok-kelompok ransomware semakin tidak terisolasi, karena kami mengamati semakin banyak operator yang bekerja sama dengan beberapa kelompok ransomware.”
Bertepatan dengan kedatangan Helldown dan Interlock, ada pendatang baru dalam ekosistem ransomware bernama SafePay, yang mengklaim hingga saat ini telah menargetkan 22 perusahaan. SafePay, menurut Huntress, juga menggunakan LockBit 3.0 sebagai basisnya, menunjukkan bahwa kebocoran kode sumber LockBit telah melahirkan beberapa varian.
Dalam dua insiden yang diselidiki oleh perusahaan, “aktivitas pelaku ancaman ditemukan berasal dari gateway atau portal VPN, karena semua alamat IP yang diamati yang ditugaskan ke stasiun kerja pelaku ancaman berada dalam jangkauan internal,” kata peneliti Huntress.
“Pelaku ancaman dapat menggunakan kredensial yang valid untuk mengakses titik akhir pelanggan, dan tidak terlihat mengaktifkan RDP, atau membuat akun pengguna baru, atau membuat persistensi lainnya.”