HelloXD Ransomware
HelloXD Ransomware on voimakas haittaohjelmauhka, ja kyberrikolliset käyttävät sitä hyökkäyksissä sekä Windows- että Linux-järjestelmiä vastaan. Haittaohjelma kiinnitti kyberturvallisuustutkijoiden huomion ensimmäisen kerran jo marraskuussa 2021, ja siitä lähtien se on kehittynyt jatkuvasti. Jotkut uhan tekijöiden tekemistä merkittävimmistä muutoksista on kuvattu Palo Alto Networkin yksikön 42 raportissa.
Tutkijoiden mukaan HelloXD perustuu toisen Babuk / Babyk -nimisen kiristysohjelmauhan vuotaneeseen lähdekoodiin. Alkuperäisissä näytteissä käytettiin Curve25519-Donnan ja muunnetun HC-128:n yhdistelmää osana sen salausprosessia. Myöhemmissä versioissa HC-128 kuitenkin vaihdettiin nopeampaan Rabbit-symmetriseen salaukseen. HelloXD luo jokaiselle tartunnan saaneelle järjestelmälle tietyn tunnuksen, joka uhrien oletetaan lähettävän hyökkääjille saadakseen oikeat salauksenpurkuavaimet.
Tietenkin uhan operaattorit ovat valmiita auttamaan uhrejaan vasta sen jälkeen, kun heille on maksettu mojova lunnaat. Itse asiassa varmistaakseen, että heidän vaatimuksensa täyttyvät, hakkerit käyttävät kaksoiskiristysjärjestelmää. Käytännössä tämä tarkoittaa sitä, että rikottujen laitteiden tiedot suodatetaan etäpalvelimelle ennen salausrutiinia. Toisin kuin muut kyberrikollisjärjestöt, HelloXD Ransomwaren operaattorit eivät ylläpidä erityistä vuotosivustoa. Sen sijaan he neuvovat vaikuttavia organisaatioita luomaan yhteyden Tox Chatin, vertaiskeskusteluohjelman, kautta. Hakkerit saattavat olla siirtymässä pois tästä käytöksestä - jotkin HelloXD:n uudemmat lunnaat sisältävät linkin toistaiseksi passiiviselle verkkosivustolle, jota isännöi Onion-verkko.
Yksi yksikön 42 tutkijoiden omituisimmista löydöistä on, että yksi HelloXD-näyte pudotti takaoven uhan tartunnan saaneeseen laitteeseen. Takaovi on muokattu versio avoimen lähdekoodin työkalusta nimeltä MicroBackdoor, joka on salattu WinCrypt API:lla. Lisähaittaohjelmat antavat uhkatekijöille mahdollisuuden manipuloida rikotun koneen tiedostojärjestelmää, ladata valittuja tiedostoja, toimittaa lisätiedostoja tai hyötykuormia ja suorittaa koodin etäsuorittamisen (RCE). Takaoven haittaohjelma voidaan myös ohjeistaa poistamaan itsensä uhrin laitteelta.
