Threat Database Ransomware HelloXD Ransomware

HelloXD Ransomware

HelloXD Ransomware je moćna prijetnja zlonamjernog softvera, a kibernetički kriminalci ga koriste u napadima na Windows i Linux sustave. Zlonamjerni softver prvi je put privukao pozornost istraživača kibernetičke sigurnosti još u studenom 2021. i od tada se neprestano razvija. Neke od značajnijih promjena koje su napravili autori prijetnje detaljno su opisane u izvješću Jedinice 42 mreže Palo Alto.

Prema istraživačima, HelloXD se temelji na procurelom izvornom kodu druge ransomware prijetnje pod nazivom Babuk / Babyk . Početni uzorci koristili su kombinaciju Curve25519-Donna i modificiranog HC-128 kao dio procesa šifriranja. Međutim, kasnije verzije zamijenile su HC-128 za bržu Rabbit simetričnu šifru. HelloXD generira određeni ID za svaki zaraženi sustav koji bi žrtve trebale poslati napadačima kako bi dobili ispravne ključeve za dešifriranje.

Naravno, operateri prijetnje spremni su pružiti pomoć svojim žrtvama tek nakon što im se plati pozamašna otkupnina. Zapravo, kako bi osigurali da će njihovi zahtjevi biti ispunjeni, hakeri vode shemu dvostruke iznude. U praksi, to znači da se podaci s probijenih uređaja eksfiltriraju na udaljeni poslužitelj prije nego što se aktivira rutina šifriranja. Za razliku od drugih kibernetičkih kriminalnih organizacija, operateri HelloXD Ransomwarea ne održavaju namjensko mjesto za curenje. Umjesto toga, oni upućuju pogođenim organizacijama da uspostave komunikaciju putem Tox Chata, peer-to-peer chat klijenta. Hakeri bi se mogli udaljiti od ovakvog ponašanja - neke od novijih bilješki s otkupninom koje je izbacio HelloXD sadrže poveznicu na još neaktivnu web stranicu koja se nalazi na mreži Onion.

Jedno od neobičnijih otkrića do kojih su došli istraživači Unit 42 je da je jedan HelloXD uzorak ispustio backdoor prijetnju na zaraženi uređaj. Backdoor je modificirana verzija alata otvorenog koda pod nazivom MicroBackdoor koji je šifriran s WinCrypt API-jem. Dodatni zlonamjerni softver omogućuje akterima prijetnje da manipuliraju datotečnim sustavom na probijenom stroju, učitavaju odabrane datoteke, isporučuju dodatne datoteke ili korisne podatke i pokreću daljinsko izvršavanje koda (RCE). Zlonamjernom softveru za stražnja vrata također se može dati upute da se sam ukloni sa žrtvinog uređaja.

U trendu

Nagledanije

Učitavam...