Mitme seadme litsentsid (mahuallahindlused)
Threat Database Ransomware HelloXD Ransomware

HelloXD Ransomware

Aastaks Mezo aastal Ransomware
Tõlgi:
Eesti

HelloXD Ransomware on tugev pahavaraoht, küberkurjategijad kasutavad seda nii Windowsi kui ka Linuxi süsteemide vastu suunatud rünnakutes. Pahavara pälvis küberjulgeoleku uurijate tähelepanu esmakordselt 2021. aasta novembris ja sellest ajast alates on see pidevalt arenenud. Mõnda ohu autorite tehtud olulisemat muudatust kirjeldati Palo Alto võrgu üksuse 42 aruandes.

Teadlaste sõnul põhineb HelloXD teise lunavaraohu Babuk / Babyk lekkinud lähtekoodil. Esialgsetes proovides kasutati krüpteerimisprotsessi osana Curve25519-Donna ja modifitseeritud HC-128 kombinatsiooni. Kuid hilisemad versioonid vahetasid HC-128 kiirema Rabbit sümmeetrilise šifri vastu. HelloXD genereerib iga nakatunud süsteemi jaoks konkreetse ID, mille ohvrid peaksid saatma ründajatele õigete dekrüpteerimisvõtmete saamiseks.

Loomulikult on ähvarduse operaatorid nõus oma ohvreid abistama alles pärast kopsaka lunaraha maksmist. Tegelikult juhivad häkkerid nende nõudmiste täitmise tagamiseks topeltväljapressimise skeemi. Praktikas tähendab see, et rikutud seadmete andmed eksfiltreeritakse enne krüpteerimisrutiini käivitamist kaugserverisse. Erinevalt teistest küberkurjategijatest organisatsioonidest ei halda HelloXD Ransomware operaatorid spetsiaalset lekkesaiti. Selle asemel annavad nad mõjutatud organisatsioonidele korralduse luua suhtlust võrdõigusvestluse kliendi Tox Chati kaudu. Häkkerid võivad sellest käitumisest eemalduda – mõned HelloXD hiljutised lunarahad sisaldavad linki seni passiivsele veebisaidile, mida hostitakse Onioni võrgus.

Üks omapärasemaid avastusi, mille üksuse 42 teadlased tegid, on see, et üks HelloXD proov lõi nakatunud seadmele tagaukse ohu. Tagauks on avatud lähtekoodiga tööriista MicroBackdoor modifitseeritud versioon, mis on krüptitud WinCrypt API-ga. Täiendav pahavara võimaldab ohus osalejatel rikutud masina failisüsteemiga manipuleerida, valitud faile üles laadida, täiendavaid faile või kasulikke koormusi edastada ja koodi kaugkäivitamist (RCE) käivitada. Samuti saab tagaukse pahavarale anda korralduse end ohvri seadmest eemaldada.

Trendikas

Enim vaadatud

Laadimine...