HelloXD Ransomware
HelloXD Ransomware е мощна заплаха за злонамерен софтуер, като киберпрестъпниците го използват при атаки срещу Windows и Linux системи. Зловредният софтуер за първи път привлече вниманието на изследователите по киберсигурност през ноември 2021 г. и оттогава непрекъснато се развива. Някои от по-значимите промени, направени от авторите на заплахата, бяха подробно описани в доклад на Unit 42 на Palo Alto Network.
Според изследователите HelloXD се основава на изтеклия изходен код на друга заплаха за рансъмуер, наречена Babuk / Babyk . Първоначалните проби използваха комбинация от Curve25519-Donna и модифициран HC-128 като част от процеса на криптиране. По-късните версии обаче заменят HC-128 с по-бързия симетричен шифър на Rabbit. HelloXD генерира специфичен идентификатор за всяка заразена система, който жертвите трябва да изпратят на нападателите, за да получат правилните ключове за декриптиране.
Разбира се, операторите на заплахата са готови да окажат помощ на жертвите си само след като им бъдат платени солиден откуп. Всъщност, за да гарантират, че техните искания ще бъдат изпълнени, хакерите изпълняват схема за двойно изнудване. На практика това означава, че данните на пробитите устройства се ексфилтрират на отдалечен сървър, преди да бъде задействана рутинната програма за криптиране. За разлика от други киберпрестъпни организации, операторите на HelloXD Ransomware не поддържат специален сайт за течове. Вместо това те инструктират засегнатите организации да установят комуникация чрез Tox Chat, клиент за peer-to-peer чат. Хакерите може да се отдалечават от това поведение - някои от по-новите бележки за откуп, пуснати от HelloXD, съдържат връзка към все още неактивен уебсайт, хостван в мрежата на Onion.
Едно от по-особените открития, направени от изследователите от Unit 42, е, че една проба HelloXD е изпуснала заплаха от задна врата на заразеното устройство. Задната врата е модифицирана версия на инструмент с отворен код, наречен MicroBackdoor, който е криптиран с WinCrypt API. Допълнителният зловреден софтуер позволява на участниците в заплахата да манипулират файловата система на взломената машина, да качват избрани файлове, да доставят допълнителни файлове или полезни товари и да изпълняват отдалечено изпълнение на код (RCE). Зловредният софтуер на задната врата също може да бъде инструктиран да се премахне от устройството на жертвата.
