Brasil é alvo de grupo criminoso que reutiliza códigos antigos de ransomware

03/01/2025 mindsecblog Notícias 0

Brasil é alvo de grupo criminoso que reutiliza códigos antigos de ransomware

ISH Tecnologia alerta para “Helldown”, que explora vulnerabilidades e reutiliza builders já existentes para atacar redes corporativas pelo mundo

 

Dezembro de 2024 – A ISH Tecnologia, referência nacional em cibersegurança, divulga um relatório sobre um novo grupo de ransomware que destaca uma tendência preocupante no cenário cibernético: Helldown, que se caracteriza pela reutilização de builders e códigos de ransomwares conhecidos como ferramenta para lançar novas ofensivas.

Esse método, que combina sofisticação técnica com economia de recursos, demonstra como criminosos digitais estão reaproveitando componentes maliciosos para criar variantes altamente perigosas, capazes de comprometer redes corporativas no Brasil e globalmente.

De acordo com a ISH, o Helldown é um exemplo claro dessa evolução adaptativa das ameaças digitais. Apesar de ser um malware recente — detectado pela primeira vez em agosto de 2024 — ele utiliza builders vazados, como o do já conhecido LockBit 3.0, conectando suas operações às de outros grupos notórios, como Donex e DarkRace. Essa abordagem não apenas facilita a disseminação de ataques semelhantes, mas também amplia o risco de variações mais devastadoras.

Além de atacar empresas com sede no Brasil, o Helldown tem como alvos redes corporativas nos Estados Unidos, Canadá, Reino Unido, França e Itália. Suas táticas incluem exploração de vulnerabilidades críticas e estratégias de dupla extorsão, o que agrava o impacto potencial sobre as instituições afetadas.

 

Cadeia de ataque e características técnicas

Segundo a ISH, o Helldown inicia suas ofensivas explorando vulnerabilidades como a CVE-2024-42057, que permite a execução de códigos maliciosos sem autenticação. Usando firewalls Zyxel como ponto de acesso, o malware compromete a segurança inicial de sistemas corporativos, levando algumas empresas a substituírem esses dispositivos por soluções de outras marcas após os incidentes.

O ransomware combina ferramentas como Mimikatz para o roubo de credenciais, o Advanced Port Scanner para mapear redes e o RDP padrão do Windows para movimentação lateral. O ataque culmina com a criptografia de dados, utilizando um executável nomeado “hellenc.exe”. Em uma etapa final, o Helldown é programado para se autodestruir no disco rígido enquanto força a reinicialização do sistema operacional, dificultando análises forenses.

 

Preocupação com a reutilização de builders

A reutilização de builders vazados, como o do LockBit 3.0, por múltiplos grupos criminosos ressalta o caráter acessível e adaptável dessas ferramentas. Essa prática reduz a barreira técnica para novos ataques, permitindo que diferentes atores desenvolvam variantes com relativa facilidade. Grupos como o Helldown, Donex e DarkRace, ao se basearem em códigos preexistentes, aumentam a sofisticação e a frequência dos ataques, mirando setores críticos como energia, tecnologia e outras indústrias essenciais.

 

Prevenção e mitigação de riscos

  • Diante desse cenário de ameaças em constante evolução, a ISH Tecnologia recomenda medidas estratégicas para reduzir o impacto de ransomwares e outros grupos maliciosos:
  • Implemente planos de recuperação cibernética;
  • Exija autenticação multifator (MFA) em todos os serviços possíveis;
  • Filtre o tráfego de rede para minimizar acessos não autorizados;
  • Realize backups regulares de dados e mantenha-os offline;
  • Atualize constantemente sistemas operacionais, softwares e firmwares para corrigir vulnerabilidades conhecidas

 

Veja também:

About mindsecblog 2852 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Be the first to comment

Deixe sua opinião!