HelloXD Ransomware

A HelloXD Ransomware egy erős rosszindulatú fenyegetés, a kiberbűnözők Windows és Linux rendszerek elleni támadásokhoz is használják. A rosszindulatú program először 2021 novemberében keltette fel a kiberbiztonsági kutatók figyelmét, és azóta is folyamatosan fejlődik. A fenyegetés szerzői által végrehajtott néhány jelentősebb változtatást a Palo Alto Network 42-es egysége részletezte.

A kutatók szerint a HelloXD egy másik, Babuk / Babyk nevű ransomware fenyegetés kiszivárgott forráskódján alapul. A kezdeti minták a Curve25519-Donna és egy módosított HC-128 kombinációját használták a titkosítási folyamat részeként. A későbbi verziók azonban a HC-128-at a gyorsabb Rabbit szimmetrikus rejtjelre cserélték. A HelloXD minden fertőzött rendszerhez külön azonosítót generál, amelyet az áldozatoknak el kell küldeniük a támadóknak, hogy megkapják a megfelelő visszafejtési kulcsokat.

Természetesen a fenyegetés működtetői csak tetemes váltságdíj megfizetése után hajlandók segítséget nyújtani áldozataiknak. Valójában, hogy biztosítsák követeléseik teljesítését, a hackerek kettős zsarolási rendszert futtatnak. A gyakorlatban ez azt jelenti, hogy a feltört eszközök adatait a titkosítási rutin megkezdése előtt kiszűrik egy távoli szerverre. Más kiberbűnöző szervezetekkel ellentétben a HelloXD Ransomware üzemeltetői nem tartanak fenn dedikált szivárgási oldalt. Ehelyett arra utasítják az érintett szervezeteket, hogy a Tox Chaten, egy peer-to-peer chat-kliensen keresztül létesítsenek kommunikációt. Lehet, hogy a hackerek távolodnak ettől a viselkedéstől – a HelloXD által eldobott újabb váltságdíjak némelyike egy, az Onion hálózaton található, egyelőre inaktív webhelyre mutató hivatkozást tartalmaz.

A Unit 42 kutatóinak egyik különösebb felfedezése az, hogy az egyik HelloXD minta hátsó ajtó fenyegetést dobott a fertőzött eszközre. A hátsó ajtó a MicroBackdoor nevű nyílt forráskódú eszköz módosított változata, amelyet a WinCrypt API-val titkosítottak. A további rosszindulatú program lehetővé teszi a fenyegetés szereplői számára, hogy manipulálják a feltört gépen lévő fájlrendszert, feltöltsenek kiválasztott fájlokat, további fájlokat vagy rakományokat szállítsanak, és távoli kódvégrehajtást (RCE) hajtsanak végre. A backdoor malware is utasítható, hogy távolítsa el magát az áldozat eszközéről.