【安全资讯】Helldown勒索软件利用Zyxel VPN漏洞入侵网络

概要：

新出现的Helldown勒索软件操作利用Zyxel防火墙中的漏洞，成功入侵企业网络，窃取数据并加密设备。根据法国网络安全公司Sekoia的报告，Helldown在短时间内迅速发展，已列出多名受害者，显示出其对网络安全的威胁。

主要内容：

Helldown勒索软件首次被Cyfirma于2024年8月9日记录，随后Cyberint于10月13日再次提及。该勒索软件的Linux变种专门针对VMware文件，显示出其加密功能尚未完全开发。Sekoia指出，Helldown的Windows版本基于泄露的LockBit 3构建器，与Darkrace和Donex有相似之处，但目前尚无确凿证据表明它们之间存在直接联系。

截至2024年11月7日，Helldown在其勒索网站上列出了31名受害者，主要是位于美国和欧洲的小型及中型企业。Sekoia表示，Helldown在数据窃取方面并不如其他团体挑剔，采用更高效的策略，甚至在其网站上发布了高达431GB的数据包。

Sekoia的调查显示，至少有八名受害者在被攻击时使用了Zyxel防火墙作为IPSec VPN接入点。攻击者通过创建恶意账户'OKSDW82A'，利用CVE-2024-42057命令注入漏洞，成功绕过安全防护，进入受害者网络并横向移动。该漏洞已在2024年9月3日通过固件更新修复，但Helldown可能仍然利用了未公开的私有漏洞。