Helldown勒索病毒：针对Linux和虚拟化系统的新威胁

关键要点

近期发现了一种针对Linux系统的新变种Helldown勒索病毒，这种病毒可能正在演变为攻击虚拟化的VMware系统。

根据11月19日的博客文章，Sekoia的威胁检测与研究团队报告称，虽然Helldown的具体攻击方法尚不明确，但Cyfirma和Cyberint发现，该组织利用最近披露、尚未修补的漏洞来渗透受害者的网络，并部署勒索软件。

其中被针对的漏洞包括CVE202442057，这是一种代码执行缺陷，之前并未在真实环境中被攻击，但是现在却被用于恶意软件攻击。

Sekoia的研究人员表示，威胁行为者采用双重勒索策略，首先窃取大量数据，并威胁如果不支付赎金就会在其onion网站上发布这些数据。该组织在短短三个月内已声称有31个受害者，包括Zyxel的欧洲子公司。

虽然针对Linux的勒索病毒并不新鲜，但Helldown对VMware系统的关注显示出运营者正在进化，以干扰许多企业依赖的虚拟化基础设施，Keeper Security的安全与架构副总裁Patrick Tiquet表示。

他指出，Helldown源自LockBit 30，利用了熟悉的技术，例如利用Zyxel防火墙中的漏洞进行初始访问。一旦进入，它就会按部就班地操作；采集凭证、绘制网络地图，并进行规避检测，然后再启动加密负载。

Tiquet说：“在Windows环境上，它的攻击准确而激进，会清除恢复选项并终止关键进程。对于Linux，它的简单性反而是它的优势关停虚拟机器，以最大化其加密的影响。”

Jason Soroko，Sectigo的高级研究员补充道，Helldown正好说明了网络犯罪分子如何将现代恶意软件的各个元素结合在一起，创造出一种可怕的威胁。他提到，这种恶意软件的所有元素之前都已经出现过，但我们越来越多地看到在各个方面强化的恶意软件。

“从无文件执行到强加密，这个恶意软件变种教会我们不能指望对手犯错，从而为我们提供减轻攻击的简单办法，”Soroko表示。“构建防御系统的安全架构师应该假设对手会带来一套复杂的工具，并且几乎没有弱点。”

攻击和关闭VMware系统使威胁行为者得以对其进行勒索加密，因为正在使用的系统无法被除VMware之外的其他进程所操作，Qualys威胁研究单位的安全研究经理Mayuresh Dani解释说。

Dani建议安全团队可以采取以下措施：