HelloXD Ransomware

يعد HelloXD Ransomware تهديدًا قويًا للبرامج الضارة ، حيث يستخدمه مجرمو الإنترنت في هجمات ضد أنظمة Windows و Linux. جذبت البرامج الضارة انتباه الباحثين في مجال الأمن السيبراني لأول مرة في نوفمبر 2021 ، ومنذ ذلك الحين ، تتطور باستمرار. تم تفصيل بعض التغييرات الأكثر أهمية التي أجراها مؤلفو التهديد في تقرير صادر عن الوحدة 42 التابعة لشبكة بالو ألتو.

وفقًا للباحثين ، تستند HelloXD إلى كود المصدر المسرب لتهديد برامج فدية أخرى يسمى Babuk / Babyk . استخدمت العينات الأولية مزيجًا من Curve25519-Donna و HC-128 المعدل كجزء من عملية التشفير الخاصة به. ومع ذلك ، فقد استبدلت الإصدارات الأحدث HC-128 بالشفرات المتماثلة لـ Rabbit الأسرع. تقوم HelloXD بإنشاء معرّف محدد لكل نظام مصاب يُفترض أن يرسله الضحايا إلى المهاجمين لتلقي مفاتيح فك التشفير الصحيحة.

بالطبع ، مشغلي التهديد على استعداد فقط لتقديم المساعدة لضحاياهم بعد دفع فدية ضخمة. في الواقع ، لضمان تلبية مطالبهم ، يدير المتسللون مخطط ابتزاز مزدوج. في الممارسة العملية ، هذا يعني أن بيانات الأجهزة التي تم اختراقها يتم تسريبها إلى خادم بعيد قبل تفعيل روتين التشفير. على عكس منظمات الجريمة الإلكترونية الأخرى ، لا يحتفظ مشغلو HelloXD Ransomware بموقع تسرب مخصص. بدلاً من ذلك ، يوجهون المنظمات المتأثرة إلى إقامة اتصال عبر Tox Chat ، وهو عميل دردشة من نظير إلى نظير. قد يبتعد المتسللون عن هذا السلوك - بعض ملاحظات الفدية الأحدث التي أسقطتها HelloXD تحتوي على رابط إلى موقع ويب غير نشط مستضاف على شبكة Onion.

أحد الاكتشافات الأكثر غرابة التي قام بها باحثو الوحدة 42 هو أن عينة HelloXD أسقطت تهديدًا خلفيًا على الجهاز المصاب. الباب الخلفي هو نسخة معدلة من أداة مفتوحة المصدر تسمى MicroBackdoor تم تشفيرها باستخدام WinCrypt API. تسمح البرامج الضارة الإضافية للجهات الفاعلة في التهديد بالتلاعب بنظام الملفات على الجهاز الذي تم اختراقه ، وتحميل الملفات المختارة ، وتسليم ملفات أو حمولات إضافية ، وتشغيل تنفيذ التعليمات البرمجية عن بُعد (RCE). يمكن أيضًا أن يُطلب من البرنامج الضار المستتر بإزالة نفسه من جهاز الضحية.