Gli attacchi di ransomware sono sempre più comuni e rappresentano una minaccia significativa per la sicurezza delle reti aziendali. Uno dei recenti gruppi di ransomware che sta causando preoccupazione è Helldown, che sta attaccando dispositivi Zyxel. In questo articolo, esploreremo i dettagli degli attacchi, le vulnerabilità coinvolte e forniremo consigli pratici per proteggere i dispositivi Zyxel.
Helldown Ransomware
Helldown è un nuovo gruppo di ransomware che è emerso nel corso dell’estate del 2024. Questo gruppo utilizza la tecnica della doppia estorsione, ovvero i vittime non solo hanno i loro dati critici crittografati, ma sono anche minacciate di pubblicazione dei dati se non pagano il riscatto. Nonostante non sia ancora un attore noto nel panorama dei ransomware, Helldown ha già ottenuto una certa notorietà per le sue azioni aggressive.
Vulnerabilità nei Dispositivi Zyxel
I dispositivi Zyxel sono stati identificati come una delle principali vittime degli attacchi di Helldown. La vulnerabilità principale coinvolta è rappresentata dalla vulnerabilità di directory traversal (CVE-2024-11667), che consente agli attaccanti di scaricare o caricare file utilizzando URL specialmente elaborati. Questa vulnerabilità è stata identificata come critica e ha un punteggio CVSS di 7,5, il che significa che rappresenta un rischio significativo per gli utenti coinvolti.
Attacchi Specifici
Gli attacchi di Helldown ai dispositivi Zyxel sono stati documentati da diverse fonti. Sekoia, una società di cybersecurity francese, ha rilevato che almeno otto vittime elencate sul sito di Helldown utilizzavano dispositivi Zyxel come punti di accesso VPN IPSec al momento del loro attacco. Inoltre, è stato rilevato che i malintenzionati utilizzavano un account malizioso chiamato ‘OKSDW82A’ e un file di configurazione (‘zzz1.conf’) per stabilire una connessione sicura via SSL VPN e accedere ai controller di dominio, muoversi lateralmente e disabilitare le difese dei punti di accesso.
Consigli di Sicurezza
Per proteggere i dispositivi Zyxel dagli attacchi di Helldown ransomware, è essenziale seguire alcuni consigli di sicurezza:
Aggiornamento del Firmware:
- Zyxel ha pubblicato un avviso di sicurezza in cui consiglia di aggiornare il firmware ai versioni più recenti, come ad esempio la versione 5.39.
- Assicurarsi di utilizzare sempre la versione più aggiornata del firmware per evitare di essere vulnerabili alle vulnerabilità note.
Rotazione delle Password degli Amministratori:
- Zyxel raccomanda di rotare le password degli amministratori regolarmente per prevenire l’accesso non autorizzato.
- Utilizzare password forti e uniche per ogni account di amministrazione.
Disabilitazione della Connessione Remota:
- Temporaneamente disabilitare la connessione remota ai dispositivi vulnerabili fino a quando non saranno aggiornati.
- Questo aiuterà a prevenire l’accesso remoto da parte di attaccanti malintenzionati.
Monitoraggio Continuo:
- Monitorare regolarmente i dispositivi Zyxel per rilevare eventuali attività sospette.
- Utilizzare strumenti di monitoraggio avanzati per rilevare e rispondere rapidamente a eventuali minacce.
Formazione e Consapevolezza:
- Assicurarsi che gli amministratori e gli utenti finali siano adeguatamente formati sulla sicurezza dei dispositivi Zyxel.
- Promuovere una cultura di sicurezza all’interno dell’organizzazione per prevenire gli attacchi.
Gli attacchi di Helldown ransomware ai dispositivi Zyxel rappresentano una minaccia significativa per la sicurezza delle reti aziendali. Per proteggere i dispositivi Zyxel, è essenziale aggiornare il firmware, rotare le password degli amministratori, disabilitare la connessione remota, monitorare continuamente i dispositivi e promuovere una cultura di sicurezza. Seguendo questi consigli, è possibile ridurre significativamente il rischio di essere vittima di un attacco di ransomware.
Fonte: https://cybersecuritynews.com/helldown-ransomware-exploiting-zyxel-devices
