一種針對Linux系統并可能進一步針對虛擬化VMware系統的Helldown勒索軟件變種已被發現。

在11月19日的博客文章中，Sekoia的威脅檢測與研究團隊報告稱，雖然Helldown的確切攻擊手段尚不清楚，但Cyfirma和Cyberint均發現，該團伙利用最近披露且可能尚未修補的漏洞侵入受害者網絡，然后部署勒索軟件。

被瞄準的漏洞之一為CVE-2024-42057，這是一個代碼執行漏洞，此前在野外環境中尚未被瞄準，但現在已被用于惡意軟件攻擊。

Sekoia研究人員表示，該威脅行為者采用雙重勒索策略。首先，大規模竊取數據，并威脅如果贖金未支付，將在其[.onion]網站上公布這些數據。該團伙在三個月內非常活躍，聲稱已有31名受害者，包括Zyxel的歐洲子公司。Keeper Security的安全與架構副總裁Patrick Tiquet表示，雖然針對Linux的勒索軟件并非前所未有，但Helldown專注于VMware系統，表明其運營者正在進化，以破壞許多企業所依賴的虛擬化基礎設施。

Tiquet表示，Helldown源自LockBit 3.0，利用熟悉的手段，如利用Zyxel防火墻漏洞進行初步訪問。一旦進入內部，它便有條不紊地運作;收集憑證、繪制網絡地圖并躲避檢測，然后啟動加密有效載荷。

“在Windows上，它精確且兇猛，清除恢復選項并終止關鍵進程，”Tiquet說，“在Linux上，它的簡單性就是它的優勢——關閉虛擬機以最大化其加密的影響。”

Sectigo的高級研究員Jason Soroko補充道，Helldown是網絡犯罪分子如何將現代惡意軟件的所有元素拼湊在一起以形成強大威脅的一個典型例子。Soroko表示，這種惡意軟件變種的所有元素以前都見過，但我們現在越來越多地看到在所有方面都不斷強化的惡意軟件。

“從無文件執行到強大的自定義加密，這種惡意軟件變種告訴我們，我們不能指望敵人犯錯，從而讓我們輕松緩解他們的攻擊，”Soroko說，“構建防御系統以抵御此類攻擊的安全架構師應該假設敵人帶來了一套幾乎沒有弱點的先進工具。”

Qualys威脅研究單元的安全研究經理Mayuresh Dani解釋說，攻擊并關閉VMware系統可以讓威脅行為者對這些系統進行加密以索取贖金，因為正在使用的系統除了VMware之外，不能由其他進程操作。

Dani表示，安全團隊可以采取以下措施：

觀察VMware進程的意外/隨機服務停止，并確保系統未受勒索軟件影響。

確保定期創建機器快照并單獨存儲，以便在需要時恢復。