In den vergangenen Tagen kam es wiederholt zu Berichten über Unternehmensnetzwerke, die mit der Ransomware Helldown infiziert wurden. Die Täter nutzten Helldown einerseits zur Verschlüsselung der dortigen Datenträger, andererseits drohten sie den Opfern aber auch mit der Veröffentlichung zuvor ausgeleiteter Informationen (Double Extortion).
Erste Vorfälle dieser Art wurden im August 2024 beobachtet, eine weitere größere Welle an Angriffen erfolgte im Oktober.

Bei der Analyse fanden IT-Sicherheitsforschende heraus, dass zur Durchführung der Angriffe in den meisten Fällen vermutlich eine Schwachstelle in Zyxel Firewalls ausgenutzt wurde. Bislang ist jedoch unklar, um welche Schwachstelle es sich im Detail handelt und ob diese überhaupt öffentlich bekannt ist.

Am 21. November veröffentlichte Zyxel ein Security Advisory und bestätigte den Bericht von Sekoia über Helldown Ransomware-Angriffe und gab an, dass die dabei ausgenutze Sicherheitslücke in der neuesten Firmware-Version 5.39, die am 3. September veröffentlicht wurde, nicht reproduzierbar sei und daher Kunden mit neuster Firmware und getauschten Zugangsdaten nicht länger bedroht seien.