Threat Database Ransomware HelloXD Ransomware

HelloXD Ransomware

El HelloXD Ransomware és una potent amenaça de programari maliciós, amb els cibercriminals que l'utilitzen en atacs contra sistemes Windows i Linux. El programari maliciós va cridar per primera vegada l'atenció dels investigadors de ciberseguretat el novembre de 2021 i, des d'aleshores, ha anat evolucionant contínuament. Alguns dels canvis més significatius realitzats pels autors de l'amenaça es van detallar en un informe de la Unitat 42 de Palo Alto Network.

Segons els investigadors, HelloXD es basa en el codi font filtrat d'una altra amenaça de ransomware anomenada Babuk / Babyk . Les mostres inicials utilitzaven una combinació de Curve25519-Donna i un HC-128 modificat com a part del seu procés de xifratge. No obstant això, les versions posteriors van canviar l'HC-128 pel xifrat simètric Rabbit més ràpid. HelloXD genera un identificador específic per a cada sistema infectat que se suposa que les víctimes han d'enviar als atacants per rebre les claus de desxifrat correctes.

Per descomptat, els operadors de l'amenaça només estan disposats a prestar assistència a les seves víctimes després de pagar un gran rescat. De fet, per garantir que es compleixin les seves demandes, els pirates informàtics executen un esquema de doble extorsió. A la pràctica, això significa que les dades dels dispositius violats s'exfiltren a un servidor remot abans que s'iniciï la rutina de xifratge. A diferència d'altres organitzacions cibercriminals, els operadors del ransomware HelloXD no mantenen un lloc de fuites dedicat. En comptes d'això, indiquen a les organitzacions afectades que estableixin comunicació mitjançant Tox Chat, un client de xat peer-to-peer. Els pirates informàtics podrien estar allunyant-se d'aquest comportament: algunes de les notes de rescat més recents enviades per HelloXD contenen un enllaç a un lloc web encara inactiu allotjat a la xarxa Onion.

Un dels descobriments més peculiars dels investigadors de la Unitat 42 és que una mostra de HelloXD va deixar caure una amenaça de porta posterior al dispositiu infectat. La porta del darrere és una versió modificada d'una eina de codi obert anomenada MicroBackdoor que s'ha xifrat amb l'API WinCrypt. El programari maliciós addicional permet als actors de l'amenaça manipular el sistema de fitxers de la màquina violada, carregar fitxers escollits, lliurar fitxers o càrregues útils addicionals i executar l'execució de codi remota (RCE). També es pot indicar al programari maliciós de la porta posterior que s'elimini del dispositiu de la víctima.

Tendència

Més vist

Carregant...