吳明宜法國資安廠商發現Helldown勒索軟體利用Zyxel防火牆漏洞CVE-2024-42057攻擊企業,強制加密資料。Helldown近期活動包括攻擊VMware及Windows系統,受害者多為歐美中小企業。Zyxel已提供修補韌體5.39版。
安全廠商發現,一隻名為 Helldown 的勒索軟體近日鎖定合勤 (Zyxel) 防火牆軟體漏洞散佈,入侵企業網路,並強制加密資料。
法國資安廠商 Sekoia 向業者通報此事。
Helldown 首先被另一家資安業者 Cyfirma 於今年 8 月發現,此後持續活動。 10 月間 Linux 版 Helldown 是鎖定 VMware 系統,主要功能是砍掉 VM 並加密映像檔。
Sekoia 11 月發現的則是 Windows 版本,研究人員相信它是以 LockBit 3 builder 開發而來,功能和 Darkrace 和 Donex 類似。研究顯示,Helldown 的手法並沒有很高明,例如它是以批次檔來終結檔案任務,惡意軟體本身並沒有這功能。
Helldown 網站公佈受害者的網站上包含 31 家公司,主要是歐美的中小企業,但是也包含合勤的歐洲分公司。研究人員發現其中 8 家受害者是使用 Zyxel 防火牆產品作為 IPSec VPN 的存取點。
根據分析,Helldown 可能是利用 Zyxel 產品的指令注入漏洞 CVE-2024-42057,這漏洞可讓未授權攻擊者使用長用戶名稱,以 User-Based-PSK 模式執行 OS 指令。
Zyxel 已經於九月發出安全公告及韌體 5.39 版,修補包含 CVE-2024-42057 在內的多項漏洞。
至於 Helldown 公佈的受害者是何時被駭或位於何地不得而知。但 Sekoia 研究人員發現 10 月 有 Helldown 的樣本從俄羅斯上傳至 VirusTotal,但當時可能還未開發完全。
合勤本周發佈安全公告以提醒用戶儘速升級到韌體 5.39 版加以防範。
Source: BleepingComputer