Threat Database Ransomware HelloXD Ransomware

HelloXD Ransomware

תוכנת הכופר HelloXD היא איום תוכנות זדוניות חזק, כאשר פושעי סייבר משתמשים בה בהתקפות נגד מערכות Windows ו-Linux כאחד. התוכנה הזדונית משכה לראשונה את תשומת לבם של חוקרי אבטחת סייבר כבר בנובמבר 2021, ומאז היא מתפתחת ללא הרף. כמה מהשינויים המשמעותיים יותר שנעשו על ידי מחברי האיום פורטו בדו"ח של יחידה 42 של רשת פאלו אלטו.

לפי החוקרים, HelloXD מבוסס על קוד המקור שדלף של איום נוסף של תוכנת כופר בשם Babuk / Babyk . דגימות ראשוניות השתמשו בשילוב של Curve25519-Donna ו-HC-128 שונה כחלק מתהליך ההצפנה שלו. עם זאת, גרסאות מאוחרות יותר החליפו את HC-128 לצופן הסימטרי המהיר יותר של Rabbit. HelloXD מייצר מזהה ספציפי לכל מערכת נגועה שהקורבנות אמורים לשלוח לתוקפים כדי לקבל את מפתחות הפענוח הנכונים.

כמובן, מפעילי האיום מוכנים להעניק סיוע לקורבנותיהם רק לאחר ששולם להם כופר כבד. למעשה, כדי להבטיח שהדרישות שלהם ייענו, ההאקרים מפעילים תוכנית סחיטה כפולה. בפועל, זה אומר שהנתונים של המכשירים הפורצים עוברים לשרת מרוחק לפני הפעלת שגרת ההצפנה. בניגוד לארגונים אחרים של פושעי סייבר, המפעילים של HelloXD Ransomware אינם מקיימים אתר דליפות ייעודי. במקום זאת, הם מורים לארגונים המושפעים ליצור תקשורת באמצעות Tox Chat, לקוח צ'אט עמית לעמית. ייתכן שההאקרים מתרחקים מהתנהגות זו - כמה מפתקי הכופר העדכניים יותר שנשלחו על ידי HelloXD מכילים קישור לאתר שעדיין לא פעיל המתארח ברשת Onion.

אחת התגליות היותר מוזרות שגילו חוקרי יחידה 42 היא שדגימת HelloXD אחת הפילה איום בדלת אחורית על המכשיר הנגוע. הדלת האחורית היא גרסה שונה של כלי קוד פתוח בשם MicroBackdoor שהוצפן עם WinCrypt API. התוכנה הזדונית הנוספת מאפשרת לשחקני האיום לתפעל את מערכת הקבצים במחשב הנפרץ, להעלות קבצים נבחרים, לספק קבצים נוספים או מטענים נוספים ולהפעיל ביצוע קוד מרחוק (RCE). ניתן גם להורות לתוכנה הזדונית של הדלת האחורית להסיר את עצמה מהמכשיר של הקורבן.

מגמות

הכי נצפה

טוען...