Helldown-Ransomware: Sicherheitslücken in Zyxel-Firewalls ausgenutzt

Sicherheitslücken in Zyxel-Firewalls werden von Kriminellen ausgenutzt. Dadurch erhalten diese Zugriff auf Netzwerke. Cyber-Security-Experten haben beobachtet, dass die Angreifer die Helldown-Ransomware einsetzen um große Datenmengen zu exfiltrieren.



Die neugefundene Bedrohung


Die Helldown-Ransomware ist noch relativ unbekannt. Erst im August wurde sie erstmals beschrieben. IT-Sicherheitsunternehmen Sekoia hat in einer Analyse herausgefunden. Dass Drahtzieher Schwachstellen ausnutzen um in die Netzwerke ihrer Opfer einzudringen. Auch die Verbreitung der Ransomware erfolgt auf diese Weise. Auf der sogenannten Data-Leakage-Site der Helldown-Gruppierung waren Mitte November insgesamt 31 Opfer aufgeführt. Ein prominentes Ziel war Zyxel Europa.



Kompromittierte Firewalls


Bei der Untersuchung war auffällig, dass mindestens acht Opfer IPSec-VPN-Zugänge mit Zyxel-Firewalls bereitstellten. Zwei dieser Opfer haben ihre kompromittierten Firewalls durch Geräte anderer Hersteller ersetzt. In einer Sicherheitswarnung im September kündigte Zyxel an, dass eine kritische Schwachstelle im IPSec-VPN (CVE-2024-42057, CVSS 8.1) entdeckt wurde. Diese Schwachstelle betrifft verschiedene Firewall-Versionen, insbesondere die Firmware-Version 5.39. Bis Mitte November war kein öffentlich zugänglicher Exploit-Code registriert worden.



Dennoch berichteten Nutzer im Zyxel-Forum Ende September von Angriffen auf Firewalls mit verletzlicher Firmware 5.38. Hochgeladene Konfigurationsdateien enthielten base64-kodierte MIPS-ELF-Binärdateien. Zudem wurden neue Benutzerkonten auf den Firewalls eingerichtet. Am 9. Oktober veröffentlichte Zyxel eine Warnung die Hinweise zur Erkennung betroffener Geräte und zur Behebung der Probleme gab.



Zielgerichtete Angriffe auf Zyxel


Sekoia hat zahlreiche Hinweise gesammelt die darauf hindeuten, dass Zyxel-Firewalls gezielt von der Helldown-Ransomware attackiert werden. Die Ransomware kann sich nicht nur unter Windows verbreiten, allerdings ebenfalls Linux-Systeme und auch ESX-Server befallen. Darüber hinaus bietet die Analyse von Sekoia detaillierte Informationen über Indizien für einen möglichen Befall.



Handlungsempfehlungen für IT-Verantwortliche


IT-Verantwortliche die Zyxel-Firewalls nutzen, sollten unverzüglich die verfügbaren Firmware-Updates installieren. Zudem ist es ratsam die Links in der Exploit-Warnung von Zyxel zu seguiren um eine empfohlene sichere Firewall-Konfiguration umzusetzen.






Kommentare


Anzeige