HelloXD ransomware

HelloXD Ransomware è una potente minaccia malware, con i criminali informatici che lo utilizzano negli attacchi contro i sistemi Windows e Linux. Il malware ha attirato l'attenzione dei ricercatori di sicurezza informatica per la prima volta nel novembre 2021 e, da allora, è in continua evoluzione. Alcuni dei cambiamenti più significativi apportati dagli autori della minaccia sono stati dettagliati in un rapporto dell'Unità 42 di Palo Alto Network.

Secondo i ricercatori, HelloXD si basa sul codice sorgente trapelato di un'altra minaccia ransomware chiamata Babuk / Babyk . I campioni iniziali hanno utilizzato una combinazione di Curve25519-Donna e un HC-128 modificato come parte del processo di crittografia. Tuttavia, le versioni successive hanno scambiato HC-128 con il più veloce cifrario simmetrico Rabbit. HelloXD genera un ID specifico per ogni sistema infetto che le vittime dovrebbero inviare agli aggressori per ricevere le chiavi di decrittazione corrette.

Naturalmente, gli operatori della minaccia sono disposti a fornire assistenza alle loro vittime solo dopo aver ricevuto un ingente riscatto. In effetti, per garantire che le loro richieste vengano soddisfatte, gli hacker eseguono uno schema di doppia estorsione. In pratica, ciò significa che i dati dei dispositivi violati vengono esfiltrati su un server remoto prima che venga attivata la routine di crittografia. A differenza di altre organizzazioni di cybercriminali, gli operatori di HelloXD Ransomware non mantengono un sito di fuga dedicato. Al contrario, istruiscono le organizzazioni interessate a stabilire una comunicazione tramite Tox Chat, un client di chat peer-to-peer. Gli hacker potrebbero allontanarsi da questo comportamento: alcune delle più recenti richieste di riscatto rilasciate da HelloXD contengono un collegamento a un sito Web non ancora attivo ospitato sulla rete Onion.

Una delle scoperte più peculiari fatte dai ricercatori dell'Unità 42 è che un campione HelloXD ha rilasciato una minaccia backdoor sul dispositivo infetto. La backdoor è una versione modificata di uno strumento open source chiamato MicroBackdoor che è stato crittografato con l'API WinCrypt. Il malware aggiuntivo consente agli attori delle minacce di manipolare il file system sulla macchina violata, caricare i file scelti, fornire file o payload aggiuntivi ed eseguire l'esecuzione di codice remoto (RCE). Il malware backdoor può anche essere istruito a rimuoversi dal dispositivo della vittima.