Helldown勒索软件组织，此前主要针对Windows系统，现已将攻击范围扩展至Linux系统。Sekoia的威胁检测与研究团队发现了Helldown的Linux变种，该变种主要针对VMware ESX服务器。Helldown采用双重勒索策略，先窃取数据再加密文件，并威胁公开数据以迫使受害者支付赎金。研究人员发现部分攻击与Zyxel防火墙的漏洞CVE-2024-42057有关，攻击者利用该漏洞获取初始访问权限，并进一步渗透网络。Helldown的勒索软件在Windows和Linux系统上具有不同的有效载荷，并与Darkrace和Donex等组织存在行为和工具上的相似性，但目前尚未确认其关联性。

🤔 Helldown勒索软件组织已将攻击目标扩展至Linux系统，其Linux变种主要针对VMware ESX服务器，并使用RSA加密密钥加密文件。

⚠️ Helldown采用双重勒索策略，在加密文件之前先窃取敏感数据，并威胁公开数据以迫使受害者支付赎金，被盗数据量从22GB到431GB不等，通常包括PDF和扫描文档等。

🔎 部分Helldown攻击与Zyxel防火墙漏洞CVE-2024-42057有关，攻击者利用该漏洞获取初始访问权限，并使用高级端口扫描器等工具渗透网络。

🔗 Helldown的行为和工具与Darkrace和Donex存在相似之处，这三者都可能与LockBit 3代码库有关，但目前尚未确认其关联性。

💻 Helldown在Windows和Linux系统上的勒索软件具有不同的有效载荷，Windows版本删除阴影副本、终止进程并加密文件，Linux版本则杀死虚拟机并加密文件。

Sekoia的威胁检测与研究（TDR）团队发现了Helldown勒索软件的Linux变种，扩大了威胁范围。Helldown 勒索软件组织以前以针对 Windows 系统而闻名，现在已将其活动范围扩大到 Linux 机器。Sekoia的威胁检测与研究（TDR）团队发现了这一新情况，他们在一条推特上提到了针对Linux系统的Helldown勒索软件的Linux变种。Helldown 是勒索软件领域的一个相对较新的成员，于 2024 年 8 月首次出现，目前已在美国和欧洲造成 31 名受害者，其中包括 Zyxel 的欧洲子公司。该组织采用双重勒索策略，在加密文件之前先渗出敏感数据，并威胁说如果不支付赎金，就会公布窃取的信息。Sekoia 已将几起 Helldown 攻击与 Zyxel 防火墙的漏洞联系起来。一个名为 CVE-2024-42057 的关键漏洞允许未经身份验证的代码执行，已被确定为该组织的一个可能入口点。值得注意的是受攻击的防火墙被发现带有恶意用户账户和有效载荷，如从俄罗斯 IP 上传的 zzz1.conf 文件。利用漏洞，攻击者可以进一步进入网络，使用高级端口扫描器等工具和命令来瘫痪防御系统Helldown 的勒索软件以 Windows 和 Linux 系统为目标，具有独特的有效载荷：Windows 勒索软件： 采用阴影副本删除、进程终止和加密。被攻击的系统上会留下一份赎金说明 ReadMe.[encrypt_extension].txt。Linux 勒索软件： 主要针对 VMware ESX 服务器。它会杀死虚拟机，用 RSA 加密密钥加密文件，并将密钥附加到加密文件中，只能用攻击者的私人密钥解密。Helldown 通过渗出大量数据进行双重勒索–每个受害者的数据量从 22GB 到 431GB。被盗数据通常包括 PDF 和扫描文档，可能来自网络文件共享驱动器或 NAS 系统。Helldown 的行为和工具与 Darkrace 和 Donex 有相似之处，两者都源自泄露的 LockBit 3 代码库。不过，这些组织之间尚未建立明确的联系。