HelloXD Ransomware

HelloXD Ransomware je silná malwarová hrozba, kterou využívají kyberzločinci při útocích na systémy Windows i Linux. Malware poprvé upoutal pozornost výzkumníků v oblasti kybernetické bezpečnosti v listopadu 2021 a od té doby se neustále vyvíjí. Některé z významnějších změn, které provedli autoři hrozby, byly podrobně popsány ve zprávě jednotky 42 Palo Alto Network.

Podle výzkumníků je HelloXD založeno na uniklém zdrojovém kódu další ransomwarové hrozby jménem Babuk / Babyk . Počáteční vzorky používaly kombinaci Curve25519-Donna a upraveného HC-128 jako součást svého šifrovacího procesu. Pozdější verze však vyměnily HC-128 za rychlejší králičí symetrickou šifru. HelloXD generuje specifické ID pro každý infikovaný systém, které mají oběti poslat útočníkům, aby obdrželi správné dešifrovací klíče.

Operátoři hrozby jsou samozřejmě ochotni poskytnout pomoc svým obětem až po zaplacení tučného výkupného. Ve skutečnosti, aby zajistili, že jejich požadavky budou splněny, hackeři provozují schéma dvojitého vydírání. V praxi to znamená, že data z prolomených zařízení jsou exfiltrována na vzdálený server před tím, než se spustí šifrovací rutina. Na rozdíl od jiných kyberzločineckých organizací nemají provozovatelé HelloXD Ransomware vyhrazené místo pro úniky. Namísto toho instruují dotčené organizace, aby navázaly komunikaci prostřednictvím Tox Chat, peer-to-peer chatovacího klienta. Hackeři by se mohli od tohoto chování odklonit – některé z novějších výkupných, které HelloXD upustilo, obsahují odkaz na dosud neaktivní webovou stránku hostovanou v síti Onion.

Jedním ze zvláštnějších objevů, které učinili výzkumníci z Unit 42, je, že jeden vzorek HelloXD vypustil na infikované zařízení hrozbu zadních vrátek. Backdoor je upravená verze open-source nástroje zvaného MicroBackdoor, který byl zašifrován pomocí WinCrypt API. Dodatečný malware umožňuje aktérům hrozeb manipulovat se systémem souborů na prolomeném počítači, nahrávat vybrané soubory, doručovat další soubory nebo užitečné zatížení a spouštět vzdálené spouštění kódu (RCE). Malware backdoor může být také instruován, aby se odstranil ze zařízení oběti.