Um relatório recente da ISH Tecnologia, referência em cibersegurança no Brasil, revelou detalhes sobre o Helldown, um novo grupo criminoso de ransomware que se aproveita de códigos maliciosos previamente conhecidos. A prática de reutilizar builders vazados, como o do ransomware LockBit 3.0, destaca uma tendência preocupante no cenário digital: a criação de variantes sofisticadas com menor esforço técnico, mas alto impacto destrutivo.
“O Helldown é um exemplo claro da evolução adaptativa das ameaças digitais”, afirma a ISH em seu relatório. Detectado pela primeira vez em agosto de 2024, o malware tem conexão operacional com outros grupos notórios, como Donex e DarkRace, ampliando sua capacidade de ataque e seu alcance global.
Alvo global com foco no Brasil
O Helldown tem como alvo empresas no Brasil e em outros países, como Estados Unidos, Canadá, Reino Unido, França e Itália. Utilizando táticas de dupla extorsão e explorando vulnerabilidades críticas, o grupo compromete redes corporativas, ampliando o impacto de seus ataques.
Entre as falhas exploradas está a CVE-2024-42057, que permite a execução de códigos maliciosos sem autenticação. O malware utiliza firewalls Zyxel como ponto de entrada, obrigando algumas empresas a substituí-los por outras soluções após incidentes.
Cadeia de ataque e ferramentas utilizadas
De acordo com a ISH, o Helldown segue uma cadeia de ataque sofisticada:
- Início: Exploração de vulnerabilidades críticas para acesso inicial.
- Movimentação lateral: Uso de ferramentas como Mimikatz para roubo de credenciais e Advanced Port Scanner para mapeamento de redes.
- Criptografia: Um executável chamado “hellenc.exe” é empregado para bloquear os dados.
Autodestruição: O malware se autodestrói, forçando a reinicialização do sistema, dificultando análises forenses.
O impacto da reutilização de builders
A reutilização de builders vazados, como o do LockBit 3.0, tem sido uma estratégia recorrente entre grupos criminosos, facilitando a criação de novas variantes de ransomware. Isso reduz a barreira técnica para ataques, permitindo que grupos como Helldown, Donex e DarkRace intensifiquem suas operações, mirando setores críticos como energia e tecnologia.
“Essa prática não apenas amplia a sofisticação dos ataques, mas também aumenta sua frequência, tornando o cenário de cibersegurança ainda mais desafiador”, alerta a ISH.
Como se proteger
Para mitigar os riscos de ataques como o do Helldown, a ISH Tecnologia recomenda:
- Planos de recuperação cibernética: Estabeleça e teste rotineiramente estratégias para resposta a incidentes.
- Autenticação multifator (MFA): Aplique MFA em todos os serviços possíveis.
- Filtragem de tráfego: Restringir acessos não autorizados.
- Backups regulares: Realize backups frequentes e mantenha-os offline.
- Atualizações constantes: Corrija vulnerabilidades em sistemas operacionais, softwares e firmwares.
Com ameaças cada vez mais sofisticadas e persistentes, a prevenção e a rápida resposta são fundamentais para minimizar os impactos de ataques cibernéticos.
