Helldown Ransomware
.png?v=1726788372)
Se ha detectado un nuevo grupo de ransomware que se hace llamar a sí mismo Helldown o Helldown Leaks. Aunque no se conoce su origen exacto, se cree que opera desde el este de Europa. Este grupo fue identificado a principios de 2023 y rápidamente se estableció como una amenaza en el mundo criminal. No fue hasta 2024 cuando cobró mayor relevancia, al registrar un total de 12 ataques en solo una semana, lo que confirmó su creciente peligrosidad. [1]
Helldown utiliza tácticas de doble extorsión encriptando los datos de sus víctimas mientras los amenaza con publicar su información en su sitio de filtraciones. El grupo emplea diversas tácticas, técnicas y procedimientos (TTPs) para lograr una infiltración a los sistemas y comprometerlos su repertorio consiste en: [1]
- Ataques de phishing: se hace uso de emails maliciosos especialmente diseñados por el usuario para dar click en links maliciosos o bien descargar archivos infectados.
- Explotar vulnerabilidades: haciendo uso de vulnerabilidades de seguridad Helldown logra infiltrarse en los sistemas.
- Explotación del Protocolo de Escritorio Remoto (RDP): aprovechando las malas prácticas que se suelen utilizar en accesos remotos a computadoras, se aprovecha y se logra acceder al sistema.
- Ataques a cadena de suministros: Helldown tiene una preferencia por atacar cadenas de suministros, como otros ransomwares ya que puede ganar acceso a una red más grande.
- Movimiento lateral: una vez que se establece en un sistema, procede a moverse de forma lateral en la red infectando otros dispositivos.
- Exfiltración de datos: Antes de que se encripten los datos, se exfiltran para funcionar en las tácticas de doble extorsión.
- Encriptación fuerte: Se emplea un método de encriptación robusto para así evitar que se logre desencriptar y asegurar que se realize el pago.
Helldown tiene un sitio de filtraciones en el cual publican la información de sus víctimas y sirve para presionarlas si no se paga el rescate de los datos encriptados. [1]
Imagen del sitio de filtraciones [1]
Como es de esperarse y normalmente se hace, al encriptarse los datos de un dispositivo, se deja una nota de rescate “readme.txt” la cual indica el monto del rescate ofreciendo un descuento si se paga pronto, así como también, se proporciona el contacto de los atacantes. [1]
Imagen de la nota de rescate [1]
Indicadores de Compromiso:
|
Tipo |
IOC |
|
URL (ONION) |
hxxp://onyxcgfg4pjevvp5h34zvhaj45kbft3dg5r33j5vu3nyp7xic3vrzvad.onion/ |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Red Piranha. (2024, Agosto 19) Threat Intelligence Report August 13 - August 19 2024. Recuperado el 19 de agosto del 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
.jpg)
