一种针对Linux系统并可能进一步针对虚拟化VMware系统的Helldown勒索软件变种已被发现。

　　在11月19日的博客文章中，Sekoia的威胁检测与研究团队报告称，虽然Helldown的确切攻击手段尚不清楚，但Cyfirma和Cyberint均发现，该团伙利用最近披露且可能尚未修补的漏洞侵入受害者网络，然后部署勒索软件。

　　被瞄准的漏洞之一为CVE-2024-42057，这是一个代码执行漏洞，此前在野外环境中尚未被瞄准，但现在已被用于恶意软件攻击。

　　Sekoia研究人员表示，该威胁行为者采用双重勒索策略。首先，大规模窃取数据，并威胁如果赎金未支付，将在其[.onion]网站上公布这些数据。该团伙在三个月内非常活跃，声称已有31名受害者，包括Zyxel的欧洲子公司。Keeper Security的安全与架构副总裁Patrick Tiquet表示，虽然针对Linux的勒索软件并非前所未有，但Helldown专注于VMware系统，表明其运营者正在进化，以破坏许多企业所依赖的虚拟化基础设施。

　　Tiquet表示，Helldown源自LockBit 3.0，利用熟悉的手段，如利用Zyxel防火墙漏洞进行初步访问。一旦进入内部，它便有条不紊地运作;收集凭证、绘制网络地图并躲避检测，然后启动加密有效载荷。

　　“在Windows上，它精确且凶猛，清除恢复选项并终止关键进程，”Tiquet说，“在Linux上，它的简单性就是它的优势——关闭虚拟机以最大化其加密的影响。”

　　Sectigo的高级研究员Jason Soroko补充道，Helldown是网络犯罪分子如何将现代恶意软件的所有元素拼凑在一起以形成强大威胁的一个典型例子。Soroko表示，这种恶意软件变种的所有元素以前都见过，但我们现在越来越多地看到在所有方面都不断强化的恶意软件。

　　“从无文件执行到强大的自定义加密，这种恶意软件变种告诉我们，我们不能指望敌人犯错，从而让我们轻松缓解他们的攻击，”Soroko说，“构建防御系统以抵御此类攻击的安全架构师应该假设敌人带来了一套几乎没有弱点的先进工具。”

　　Qualys威胁研究单元的安全研究经理Mayuresh Dani解释说，攻击并关闭VMware系统可以让威胁行为者对这些系统进行加密以索取赎金，因为正在使用的系统除了VMware之外，不能由其他进程操作。

　　Dani表示，安全团队可以采取以下措施：

　　观察VMware进程的意外/随机服务停止，并确保系统未受勒索软件影响。

　　确保定期创建机器快照并单独存储，以便在需要时恢复。