In this Help Net Security video, Tina Srivastava, MIT Lecturer and CEO of Badge, discusses a 20-year cryptography problem – using biometrics for authentication without storing a face/finger/voice print. This has massive implications for corporate and personal security/privacy because there is nothing for an attacker to steal.
The post Preventing credential theft in the age of AI appeared first on Help Net Security.
In 2024, businesses reported taking an average of 7.3 months to recover from cybersecurity breaches – 25% longer than expected and over a month past the anticipated timeline of 5.9 months, according to Fastly. Cybersecurity leaders feel unprepared for future threats Recovery times were even worse for companies that planned on cutting back cybersecurity spending. They faced an average of 68 incidents each – 70% above the average – and their recovery times stretched to … More →
The post Full recovery from breaches takes longer than expected appeared first on Help Net Security.
据悉,新的“Helldown”勒索软件攻击目标是 Zyxel 防火墙中的漏洞,以破坏企业网络,从而窃取数据和加密设备。
尽管不是勒索软件领域的主要参与者,但 Helldown 自夏季推出以来迅速发展,在其数据勒索门户网站上有众多受害者。
受害者公告
Helldown 发现和概述
Helldown 首次由 Cyfirma 于 2024 年 8 月 9 日记录,随后由 Cyberint 于 10 月 13 日再次记录,两次都简要描述了新的勒索软件操作。
360NetLab 安全研究员于 10 月 31 日首次报告了针对 VMware 文件的 Helldown 勒索软件 Linux 变体。该 Linux 变体具有列出和杀死虚拟机以加密图像的代码,但其功能仅被部分调用,这表明它可能仍在开发中。
相关报告称,Windows 版 Helldown 基于泄露的 LockBit 3 构建器,其操作功能与 Darkrace 和 Donex 相似。然而,根据现有证据,无法得出明确的联系。
配置文件相似之处
截至 2024 年 11 月 7 日,该威胁组织在其最近更新的勒索门户网站上列出了 31 名受害者,其中主要是总部位于美国和欧洲的中小型公司。截至今天,该数字已减少至 28 人,这种减少表明可能有人支付了赎金。
Helldown 在窃取数据方面不像其他组织那样有选择性,采用更有效的策略,并在其网站上发布大型数据包,一次数据包高达 431GB。
列出的受害者之一是网络和网络安全解决方案提供商 Zyxel Europe。该组织的加密器看起来并不是非常先进,威胁者利用批处理文件来结束任务,而不是直接将此功能合并到恶意软件中。
通过批处理文件终止进程
加密文件时,威胁者将生成随机受害者字符串,例如“FGqogsxF”,该字符串将用作加密文件的扩展名。勒索字条还在其文件名中使用了该受害者字符串,例如“Readme.FGqogsxF.txt”。
Helldown 勒索信
指向 Zyxel Europe 的证据
安全研究人员通过 Zyxel Europe 相关的研究发现,Helldown 网站上列出的至少 8 名受害者在发生违规时使用了 Zyxel 防火墙作为 IPSec VPN 接入点。并注意到 11 月 7 日的 Truesec 报告提到,在 Helldown 攻击中使用了名为“OKSDW82A”的恶意帐户,并且还使用了一个配置文件(“zzz1.conf”)作为针对基于 MIPS 的设备的攻击的一部分。
威胁者使用此帐户通过 SSL VPN 与受害者网络建立安全连接、访问域控制器、横向移动并关闭端点防御。
通过进一步调查,又在 Zyxel 论坛上发现了有关创建可疑用户帐户“OKSDW82A”和配置文件“zzz1.conf”的报告,设备管理员报告称他们使用的是固件版本 5.38。
连接 Helldown 活动中的各个点
根据该版本,安全研究人员推测 Helldown 可能正在使用 CVE-2024-42057,这是一种 IPSec VPN 中的命令注入,允许未经身份验证的攻击者在基于用户的 PSK 模式下使用精心设计的长用户名执行操作系统命令。
该问题已于 9 月 3 日随着固件版本 5.39 的发布得到修复,且利用细节尚未公开,因此 Helldown 疑似获得了利用漏洞。
此外,研究人员还发现了 10 月 17 日至 22 日期间从俄罗斯上传到 VirusTotal 的有效负载,它包含一个 base64 编码的字符串,解码后会显示 MIPS 架构的 ELF 二进制文件。然而,有效负载似乎不完整。