Montag · 15.06.2026 Ausgabe 2736 RSS
CyberDeutsch
Nachrichten Cybersicherheit täglich
Aktuelle Cybersicherheit-Nachrichten auf Deutsch.
Inaktiv · 586 Tage inaktiv Ransomware-Gruppe · Profil

Helldown

36Opfer gesamt
0Opfer (30 Tage)
13.08.2024Erstes Auftreten
InaktivStatus

Überblick

Helldown ist eine aggressiv vorgehende Ransomware-Gruppe, die in der Bedrohungslandschaft als vergleichsweise neuer Akteur in Erscheinung getreten ist. Für den initialen Zugriff nutzt die Gruppe Schwachstellen in Firewalls des Herstellers Zyxel aus und verschafft sich auf diesem Weg Zugang zu den Netzwerken ihrer Ziele. Charakteristisch ist die umfangreiche Entwendung von Daten: Helldown exfiltriert große Datenmengen aus den kompromittierten Umgebungen, bevor weitere Schritte erfolgen, und setzt die betroffenen Einrichtungen anschließend unter Druck. Im Fokus der Angriffe stehen Organisationen aus dem IT-Dienstleistungssektor, der Telekommunikation, dem verarbeitenden Gewerbe sowie dem Gesundheitswesen. Geografisch konzentriert sich die Gruppe schwerpunktmäßig auf Nordamerika, betroffen sind jedoch Einrichtungen unterschiedlicher Branchen. Die Kombination aus gezielter Ausnutzung von Perimeter-Schwachstellen und groß angelegtem Datendiebstahl kennzeichnet das Vorgehen dieses Akteurs und unterscheidet ihn von Gruppen, die ausschließlich auf Verschlüsselung setzen.

Taktiken & Vorgehen

Nach dem initialen Zugriff setzt Helldown ein abgestuftes Instrumentarium aus frei verfügbaren und legitimen Werkzeugen ein. Zum Abgreifen von Zugangsdaten kommt „Mimikatz“ zum Einsatz, mit dem Anmeldeinformationen aus dem Speicher ausgelesen werden. Mit „HRSword“ wird gezielt vorhandene Sicherheitssoftware manipuliert beziehungsweise außer Kraft gesetzt. Zur Erkundung der Netzwerkumgebung nutzt die Gruppe den „Advanced Port Scanner“, um erreichbare Systeme und offene Dienste zu identifizieren. Für die seitliche Bewegung innerhalb des Netzwerks und die Ausführung von Befehlen auf entfernten Systemen wird „PsExec“ verwendet. Zusätzlich greift die Gruppe auf die Fernwartungssoftware „TeamViewer“ zurück, um sich dauerhaften Fernzugriff auf kompromittierte Systeme zu sichern.

Schutzmaßnahmen

Der Speicherzugriff auf Anmeldeinformationen sollte überwacht und der Einsatz von Werkzeugen wie „Mimikatz“ durch Schutz der Anmeldedaten erschwert werden. Eingesetzte Sicherheitssoftware sollte gegen Manipulation und Deaktivierung, wie sie mit „HRSword“ angestrebt wird, abgesichert werden. Auffällige Netzwerk-Scans, etwa durch den „Advanced Port Scanner“, sollten erkannt und durch Netzsegmentierung erschwert werden. Der administrative Einsatz von „PsExec“ zur seitlichen Bewegung sollte eingeschränkt und protokolliert werden. Fernwartungssoftware wie „TeamViewer“ sollte nur kontrolliert zugelassen und ihr unautorisierter Einsatz unterbunden werden.

Chronologie

  1. 13.08.2024 Erste bekannte Aktivität
  2. 06.11.2024 Zuletzt aktiv

Erwähnt in

  • Noch kein Artikel verlinkt — die Verknüpfung entsteht automatisch, sobald ein Beitrag den Gruppennamen nennt.