HelloXD Ransomware

باج افزار HelloXD یک تهدید بدافزار قوی است که مجرمان سایبری از آن در حملات علیه سیستم های ویندوز و لینوکس استفاده می کنند. این بدافزار برای اولین بار در نوامبر 2021 توجه محققان امنیت سایبری را به خود جلب کرد و از آن زمان تاکنون به طور مداوم در حال توسعه بوده است. برخی از تغییرات مهم‌تر ایجاد شده توسط نویسندگان تهدید در گزارش واحد 42 شبکه پالو آلتو به تفصیل آمده است.

به گفته محققان، HelloXD بر اساس کد منبع فاش شده یک تهدید باج افزار دیگر به نام Babuk / Babyk است. نمونه های اولیه از ترکیب Curve25519-Donna و HC-128 اصلاح شده به عنوان بخشی از فرآیند رمزگذاری آن استفاده کردند. با این حال، نسخه‌های بعدی HC-128 را با رمز متقارن سریعتر Rabbit مبادله کردند. HelloXD یک شناسه خاص برای هر سیستم آلوده ایجاد می کند که قربانیان قرار است برای دریافت کلیدهای رمزگشایی صحیح برای مهاجمان ارسال کنند.

البته گردانندگان تهدید تنها پس از پرداخت باج هنگفت حاضر به کمک به قربانیان خود هستند. در واقع، برای اطمینان از برآورده شدن خواسته های آنها، هکرها یک طرح اخاذی مضاعف را اجرا می کنند. در عمل، این بدان معنی است که داده های دستگاه های نقض شده قبل از درگیر شدن روال رمزگذاری به یک سرور راه دور منتقل می شود. برخلاف سایر سازمان‌های مجرم سایبری، اپراتورهای باج‌افزار HelloXD یک سایت نشت اختصاصی ندارند. در عوض، آنها به سازمان‌های تحت تأثیر دستور می‌دهند تا از طریق Tox Chat، یک مشتری چت همتا به همتا، ارتباط برقرار کنند. هکرها ممکن است از این رفتار دور شوند - برخی از یادداشت‌های باج‌گیری اخیر که توسط HelloXD منتشر شده است حاوی پیوندی به یک وب‌سایت هنوز غیرفعال است که در شبکه Onion میزبانی شده است.

یکی از عجیب‌ترین اکتشافات محققین واحد 42 این است که یک نمونه HelloXD یک تهدید درب پشتی دستگاه آلوده را رها کرد. Backdoor نسخه اصلاح شده یک ابزار منبع باز به نام MicroBackdoor است که با WinCrypt API رمزگذاری شده است. بدافزار اضافی به عوامل تهدید اجازه می‌دهد تا سیستم فایل را در دستگاه نقض شده دستکاری کنند، فایل‌های انتخابی را آپلود کنند، فایل‌ها یا بارهای اضافی را تحویل دهند و اجرای کد از راه دور (RCE) را اجرا کنند. همچنین می توان به بدافزار backdoor دستور داد تا خود را از دستگاه قربانی حذف کند.