'Helldown'이라는 새로운 랜섬웨어 작업이 Zyxel 방화벽의 취약점을 공격하여 기업 네트워크를 침투, 데이터를 도난하고 장치를 암호화하는 것으로 보고되었습니다. 이는 프랑스의 사이버보안 회사 Sekoia가 최근 'Helldown' 공격을 관찰하고 중간 정도의 확신을 가지고 보고한 내용입니다. 'Helldown'은 랜섬웨어 분야의 주요 플레이어들 중 하나는 아니지만, 이번 여름에 시작된 이후로 빠르게 성장하였으며, 그들의 데이터 강탈 포털에는 수많은 피해자들이 목록화되어 있습니다.
'Helldown'은 처음으로 2024년 8월 9일에 Cyfirma에 의해 기록되었으며, 이후 10월 13일에 Cyberint에 의해 다시 기록되었습니다. Linux 버전의 'Helldown' 랜섬웨어가 VMware 파일을 대상으로 한 첫 번째 보고는 10월 31일에 360NetLab의 보안 연구원 Alex Turing에 의해 이루어졌습니다. 이 Linux 버전은 이미지를 암호화하기 위해 VM을 나열하고 종료하는 코드를 포함하고 있지만, 그 기능들은 부분적으로만 호출되어, 아직 개발 중일 수 있다는 것을 나타냅니다.
Sekoia는 'Helldown'이 유출된 LockBit 3 빌더를 기반으로 Windows용으로 제작되었으며, Darkrace와 Donex와 운영적 유사성을 보인다고 보고하였습니다. 그러나, 제공된 증거를 바탕으로 확정적인 연결을 만들 수는 없었습니다. 2024년 11월 7일 기준으로, 이 위협 그룹은 최근에 갱신된 강탈 포털에 31명의 피해자를 목록화하였으며, 이들은 주로 미국과 유럽에 기반을 둔 소규모 및 중소기업들입니다.
요약
- 'Helldown'이라는 새로운 랜섬웨어 작업이 Zyxel 방화벽의 취약점을 공격하여 기업 네트워크를 침투, 데이터를 도난하고 장치를 암호화하는 것으로 보고되었다.
- 'Helldown'은 랜섬웨어 분야의 주요 플레이어들 중 하나는 아니지만, 이번 여름에 시작된 이후로 빠르게 성장하였다.
- 'Helldown'은 처음으로 2024년 8월 9일에 Cyfirma에 의해 기록되었으며, 이후 10월 13일에 Cyberint에 의해 다시 기록되었다.
- Linux 버전의 'Helldown' 랜섬웨어가 VMware 파일을 대상으로 한 첫 번째 보고는 10월 31일에 360NetLab의 보안 연구원 Alex Turing에 의해 이루어졌다.
- Sekoia는 'Helldown'이 유출된 LockBit 3 빌더를 기반으로 Windows용으로 제작되었으며, Darkrace와 Donex와 운영적 유사성을 보인다고 보고하였다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.