Threat Database Ransomware HelloXD Ransomware

HelloXD Ransomware

HelloXD Ransomware er en potent malwaretrussel, hvor cyberkriminelle bruger den i angreb mod både Windows- og Linux-systemer. Malwaren fangede først opmærksomhed fra cybersikkerhedsforskere tilbage i november 2021, og siden da har den været i konstant udvikling. Nogle af de mere væsentlige ændringer foretaget af truslens forfattere blev beskrevet i en rapport fra Palo Alto Networks Unit 42.

Ifølge forskerne er HelloXD baseret på den lækkede kildekode fra en anden ransomware-trussel ved navn Babuk / Babyk . Indledende prøver brugte en kombination af Curve25519-Donna og en modificeret HC-128 som en del af sin krypteringsproces. Senere versioner byttede dog HC-128 ud med den hurtigere kaninsymmetriske chiffer. HelloXD genererer et specifikt ID for hvert inficeret system, som ofrene formodes at sende til angriberne for at modtage de korrekte dekrypteringsnøgler.

Selvfølgelig er truslens operatører kun villige til at yde hjælp til deres ofre efter at have fået udbetalt en stor løsesum. Faktisk kører hackerne en dobbeltafpresningsordning for at sikre, at deres krav bliver opfyldt. I praksis betyder det, at dataene fra de brudte enheder eksfiltreres til en ekstern server, før krypteringsrutinen aktiveres. I modsætning til andre cyberkriminelle organisationer vedligeholder operatørerne af HelloXD Ransomware ikke et dedikeret lækagested. I stedet instruerer de de berørte organisationer om at etablere kommunikation via Tox Chat, en peer-to-peer chat-klient. Hackerne kan være på vej væk fra denne adfærd - nogle af de nyere løsepenge, som HelloXD har droppet, indeholder et link til et endnu inaktivt websted, der er hostet på Onion-netværket.

En af de mere ejendommelige opdagelser gjort af Unit 42-forskerne er, at en HelloXD-prøve faldt en bagdørstrussel på den inficerede enhed. Bagdøren er en modificeret version af et open source-værktøj kaldet MicroBackdoor, der er blevet krypteret med WinCrypt API. Den ekstra malware gør det muligt for trusselsaktørerne at manipulere filsystemet på den brudte maskine, uploade valgte filer, levere yderligere filer eller nyttelaster og køre fjernudførelse af kode (RCE). Bagdørens malware kan også blive instrueret i at fjerne sig selv fra offerets enhed.

Trending

Mest sete

Indlæser...