Ransomware : Helldown entre en scène via les VPN Zyxel

Quel est le point commun entre l’école Saint-Joseph de Tivoli et Deganis ? Helldown, une vitrine de rançongiciel découverte mi-août et qui affiche déjà fièrement 37 victimes, dont l’équipementier Zyxel. Ce n’est peut-être pas un hasard.

L’équipe TDR de Sekoia.io vient de se pencher sur Helldown. Elle « a identifié qu’au moins huit victimes, dont une compromise au début du mois d’août, utilisaient des pare-feu Zyxel comme points d’accès VPN IPSec au moment de la violation. Des recherches historiques sur le moteur de Censys ont également révélé que deux de ces victimes ont remplacé leurs pare-feu Zyxel par d’autres marques peu de temps après avoir été compromises ».

C’est tout début septembre que Zyxel a publié un bulletin d’alerte annonçant des correctifs visant une vulnérabilité critique affectant ses pare-feu. Il s’agit de la CVE-2024-42057 qui permet l’exécution à distance, sans authentification, de code arbitraire, par un acteur malveillant. 

Quelques semaines plus tard, les témoignages de compromission d’équipements dotés du firmware 5.38 se multipliaient sur le forum des utilisateurs de Zyxel. Le 9 octobre, l’équipementier faisait le point.

Pour les chercheurs de Sekoia, « tous les indices disponibles suggèrent fortement que les pare-feu Zyxel ont été visés par Helldown ». Un tel choix, pour des cybercriminels, n’aurait rien de surprenant.

Les arborescences de fichiers partagés sur la vitrine de Helldown suggèrent un vol de données sur des NAS dans de nombreux cas. Les premières victimes remonteraient à août.

Helldown apparaît avoir utilisé, dans ses attaques, un variant Windows et un autre pour les systèmes Linux/ESXi. Le premier présente de nombreuses similarités avec Darkrace, connu pour avoir été actif au printemps 2023.

Le second compte parmi ceux qui embarquent directement des fonctions spécifiques aux hyperviseurs, pour énumérer et arrêter les machines virtuelles en fonctionnement. 

Selon Avast, Donex pourrait avoir pris la suite de Darkrace, début 2024. Helldown en serait-il un successeur ? Jeremy Scion, de Sekoia.io, est réservé : « il est difficile d’établir une relation entre Darkrace ou Donex et Helldown. Les deux codes sont des variantes de LockBit 3.0. Compte tenu des antécédents de Darkrace et de Donex en matière de rebranding et de leurs similitudes significatives avec Helldown, la possibilité que Helldown soit un autre rebranding ne peut être écartée. Toutefois, ce lien ne peut être définitivement confirmé à ce stade ».