Helldown ランサムウェア:Zyxel の脆弱性を悪用して攻撃を展開

Zyxel Vulnerability Exploited by Helldown Ransomware Group

2025/01/26 SecurityOnline — Zyxel デバイスの脆弱性を悪用する Helldown ランサムウェア・グループの、最新キャンペーンに関するレポートが、インシデント対応者である Claudio Vozza と Yarix Incident Response Team から公開された。Helldown による攻撃チェーンは、Zyxel デバイスの脆弱性の悪用から開始される。その後に攻撃者は、ファイアウォール・コンソールへの管理者アクセス権を獲得し、ドメイン認証情報を収集し、持続的なアクセスを確立していた。

Vozza のレポートには、「これは、Zyxel デバイスの脆弱性を悪用する攻撃の一例である。脆弱性の悪用に成功した攻撃者は、ファイアウォール・コンソールでの管理者アクセス権を取得する。そして、企業ドメインなどの認証情報を収集することで、インフラの侵害の可能性を手にする」と説明している。

Zyxel は、2024年9月3日の時点でセキュリティ通知をリリースし、ファームウェアを即時アップデートしてリスクを軽減するよう、ユーザーに促していた。しかし、このような働きかけに反して、多くのユーザー組織は脆弱な状態にあり、そのインフラは危険に直面し続けている。

Helldown は、高度なランサムウェアの亜種であり、Windows/Linux システムを標的にする攻撃的な戦術で知られている。このグループは、身代金が支払われない場合において、外部に持ち出した機密データを公開すると脅す、二重恐喝の手法を多用している。

Yarix のレポートで取り上げられているキャンペーンにおいて、Helldown が使用した戦術を以下に記す:

  1. VPN の匿名化による自身の所在地の隠蔽:攻撃者は Mullvad や NordVPN などの VPN サービスを使用して、自身の所在地を隠蔽していた。このレポートには、「攻撃者は、被害者の国に合わせて適切な地理位置を選択し、VPN サービスを使用して実際の発信元を隠蔽していた」と記されている。
  2. バックドア・アカウントを作成: 継続的なアクセスのためのアカウント (“SUPPOR87” や “vpn” など) が、侵害されたファイアウォール上に作成されていた。
  3. 高度なランサムウェアを展開:Windows/Linux 環境と、ESXi サーバを含む環境に合わせて、ランサムウェアは特別に調整されていた。ファイルの暗号化に際して、ダークウェブでのデータ公開をほのめかす、身代金要求のメモが添えられていた。

また、Helldown は以下のようなツールを使用し、きわめて高度な手法を展開した:

  • Mimikatz:認証情報の収集により、より深部への侵入を可能にする。
  • Advanced IP Scanner:”i.exe” に改名し、ネットワーク偵察に使用した。
  • カスタム PowerShell コマンド:デバイス全体にランサムウェアを展開した。
  • SCP (Secure Copy Protocol)/OpenSSH:ESXi サーバーにランサムウェアを転送する際に使用。

さらに Helldown の攻撃チェーンには、暗号化を開始する前に ESXi サーバ上のアクティブな仮想マシン・プロセスを、手動で終了させるという手順も取り込まれていた。このレポートには、「問題のランサムウェア・ファイルを実行すると、システムおよびアクティブなネットワーク共有内のデータが暗号化された。そして、影響を受けたファイルの拡張子は “.locklocklock” に変更され、”Readme-locklocklock.txt” という身代金要求書が生成されていた」と詳述されている。

Helldown のキャンペーンは複数の地域にまたがり、イタリア/シンガポールなどの場所で、積極的な活動が確認されている。

Zyxel の脆弱性を悪用する、Helldown ランサムウェアの攻撃に関する記事です。文中では、脆弱性の悪用から始まると解説されていますが、CVE に関しては触れられていません。それは、参照元である Yarix のレポートでも同じです。よろしければ、Helldown で検索をご参照ください。Zyxel を攻撃し続けている様子が分かります。よろしければ、以下のリンクも、併せて ご参照ください。

2024/11/28:Zyxel の脆弱性 CVE-2024-11667:Helldown ランサムウェア
2024/11/19:Helldown の調査:Zyxel VPN の CVE-2024-42057 を悪用か?