HelloXD Ransomware

Το HelloXD Ransomware είναι μια ισχυρή απειλή κακόβουλου λογισμικού, με κυβερνοεγκληματίες να το χρησιμοποιούν σε επιθέσεις εναντίον συστημάτων Windows και Linux. Το κακόβουλο λογισμικό τράβηξε για πρώτη φορά την προσοχή των ερευνητών στον κυβερνοχώρο τον Νοέμβριο του 2021 και, έκτοτε, εξελίσσεται συνεχώς. Μερικές από τις πιο σημαντικές αλλαγές που έγιναν από τους συντάκτες της απειλής αναλύθηκαν λεπτομερώς σε μια αναφορά της Μονάδας 42 του Δικτύου Palo Alto.

Σύμφωνα με τους ερευνητές, το HelloXD βασίζεται στον πηγαίο κώδικα που διέρρευσε μιας άλλης απειλής ransomware που ονομάζεται Babuk / Babyk . Τα αρχικά δείγματα χρησιμοποιούσαν έναν συνδυασμό Curve25519-Donna και τροποποιημένου HC-128 ως μέρος της διαδικασίας κρυπτογράφησης. Ωστόσο, μεταγενέστερες εκδόσεις αντάλλαξαν το HC-128 με τον ταχύτερο συμμετρικό κρυπτογράφηση Rabbit. Το HelloXD δημιουργεί ένα συγκεκριμένο αναγνωριστικό για κάθε μολυσμένο σύστημα που τα θύματα υποτίθεται ότι στέλνουν στους εισβολείς για να λάβουν τα σωστά κλειδιά αποκρυπτογράφησης.

Φυσικά, οι φορείς της απειλής είναι πρόθυμοι να παράσχουν βοήθεια στα θύματά τους μόνο αφού τους πληρώσουν βαριά λύτρα. Μάλιστα, για να διασφαλίσουν ότι τα αιτήματά τους θα ικανοποιηθούν, οι χάκερ εφαρμόζουν ένα σχέδιο διπλού εκβιασμού. Στην πράξη, αυτό σημαίνει ότι τα δεδομένα των παραβιασμένων συσκευών διοχετεύονται σε έναν απομακρυσμένο διακομιστή πριν από την ενεργοποίηση της ρουτίνας κρυπτογράφησης. Σε αντίθεση με άλλους κυβερνοεγκληματικούς οργανισμούς, οι χειριστές του HelloXD Ransomware δεν διατηρούν αποκλειστικό ιστότοπο διαρροής. Αντίθετα, καθοδηγούν τους επηρεαζόμενους οργανισμούς να δημιουργήσουν επικοινωνία μέσω του Tox Chat, ενός πελάτη συνομιλίας peer-to-peer. Οι χάκερ θα μπορούσαν να απομακρύνονται από αυτήν τη συμπεριφορά - ορισμένες από τις πιο πρόσφατες σημειώσεις λύτρων που κυκλοφόρησε το HelloXD περιέχουν έναν σύνδεσμο προς έναν έως τώρα ανενεργό ιστότοπο που φιλοξενείται στο δίκτυο Onion.

Μια από τις πιο περίεργες ανακαλύψεις που έγιναν από τους ερευνητές της Μονάδας 42 είναι ότι ένα δείγμα HelloXD έριξε μια απειλή από την πίσω πόρτα στη μολυσμένη συσκευή. Το backdoor είναι μια τροποποιημένη έκδοση ενός εργαλείου ανοιχτού κώδικα που ονομάζεται MicroBackdoor και έχει κρυπτογραφηθεί με το WinCrypt API. Το πρόσθετο κακόβουλο λογισμικό επιτρέπει στους παράγοντες απειλής να χειριστούν το σύστημα αρχείων στο μηχάνημα που έχει παραβιαστεί, να ανεβάσουν επιλεγμένα αρχεία, να παραδώσουν πρόσθετα αρχεία ή ωφέλιμα φορτία και να εκτελέσουν απομακρυσμένη εκτέλεση κώδικα (RCE). Το κακόβουλο λογισμικό backdoor μπορεί επίσης να λάβει οδηγίες να αφαιρεθεί από τη συσκευή του θύματος.