详细内容或原文请订阅后点击阅览
Helldown 勒索软件通过 Linux 攻击 VMware 系统
无
来源:Packet Storm _恶意软件已发现 Helldown 勒索软件的 Linux 变体针对 Linux 系统,并可能演变为针对虚拟化 VMware 系统。
VMware 系统在 11 月 19 日的一篇博客文章中,Sekoia 的威胁检测和研究团队报告称,虽然 Helldown 的具体方法尚不清楚,但 Cyfirma 和 Cyberint 都发现该组织利用最近披露且可能尚未修补的漏洞来渗透受害者的网络,然后部署勒索软件。
11 月 19 日的博客文章 Cyfirma Cyberint被攻击的漏洞之一是 CVE-2024-42057,这是一个代码执行漏洞,之前并未被广泛利用,但现在正被用于恶意软件攻击。
Sekoia 的研究人员表示,威胁行为者使用双重勒索策略。首先窃取大量数据,并威胁如果不支付赎金,就将数据发布在其 [.onion] 网站上。该组织在三个月内非常活跃,已夺走了 31 名受害者的生命,其中包括 Zyxel 的欧洲子公司。
Keeper Security 安全和架构副总裁 Patrick Tiquet 表示,虽然针对 Linux 的勒索软件并非史无前例,但 Helldown 对 VMware 系统的关注表明,其运营商正在不断发展,以破坏许多企业所依赖的虚拟化基础设施。
Tiquet 表示,Helldown 源自 LockBit 3.0,利用熟悉的技术,例如利用 Zyxel 防火墙中的漏洞进行初始访问。一旦进入内部,它就会有条不紊地运行;在启动其加密负载之前,它会收集凭据、映射网络并逃避检测。
“在 Windows 上,它非常精确和激进,会擦除恢复选项并终止关键进程,”Tiquet 说。 “在 Linux 上,简单性就是它的优势——关闭虚拟机以最大限度地发挥加密的影响。”
Dani 表示,安全团队可以执行以下操作: