Pesquisadores de cibersegurança identificaram uma nova variante do ransomware Helldown, agora capaz de atacar sistemas Linux e infraestruturas virtualizadas via VMware. Essa evolução indica que os operadores do Helldown estão expandindo suas operações, anteriormente focadas em sistemas Windows, cuja versão já utilizava código derivado do LockBit 3.0. Inicialmente documentado em agosto de 2024, o grupo Helldown é descrito como agressivo, explorando vulnerabilidades de segurança para comprometer redes. Seus principais alvos incluem os setores de serviços de TI, telecomunicações, manufatura e saúde, utilizando táticas de dupla extorsão que ameaçam expor dados roubados para pressionar o pagamento de resgates. Apenas nos primeiros três meses de operação, ao menos 31 empresas foram vítimas confirmadas.

Os ataques documentados revelam que o Helldown explora tanto vulnerabilidades conhecidas quanto inéditas em firewalls Zyxel, usando-as para obter acesso inicial às redes-alvo. Uma vez dentro, os operadores roubam credenciais, criam túneis VPN temporários e realizam movimentos laterais para ampliar seu controle. No ambiente Windows, o ransomware exibe técnicas avançadas, como apagar cópias sombra, encerrar processos críticos, incluindo bancos de dados e aplicativos do Microsoft Office, e remover seus próprios binários após criptografar os arquivos, deixando apenas uma nota de resgate.

A nova variante Linux do Helldown, embora menos sofisticada, já demonstra capacidades específicas para ambientes virtualizados. Ela inclui funções que listam e encerram máquinas virtuais (VMs) antes de iniciar a criptografia. Contudo, análises indicam que essas funções, embora presentes no código, não foram ativadas nos ataques investigados até o momento, sugerindo que o ransomware Linux ainda está em desenvolvimento. Esse avanço reflete uma preocupação crescente com a adaptação de grupos de ransomware para alvos diversificados, ampliando o impacto potencial em infraestruturas críticas.