HelloXD Ransomware
HelloXD Ransomware គឺជាការគំរាមកំហែងមេរោគដ៏ខ្លាំងក្លាមួយ ជាមួយនឹងឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ប្រើប្រាស់វាក្នុងការវាយប្រហារប្រឆាំងទាំងប្រព័ន្ធ Windows និង Linux ។ មេរោគដំបូងបានទាក់ទាញចំណាប់អារម្មណ៍របស់អ្នកស្រាវជ្រាវសន្តិសុខអ៊ីនធឺណិតត្រឡប់មកវិញនៅក្នុងខែវិច្ឆិកា ឆ្នាំ 2021 ហើយចាប់តាំងពីពេលនោះមក វាបាននិងកំពុងវិវត្តជាបន្តបន្ទាប់។ ការផ្លាស់ប្តូរសំខាន់ៗមួយចំនួនដែលធ្វើឡើងដោយអ្នកនិពន្ធនៃការគំរាមកំហែងត្រូវបានរៀបរាប់លម្អិតនៅក្នុងរបាយការណ៍ដោយអង្គភាព 42 របស់ Palo Alto Network ។
យោងតាមអ្នកស្រាវជ្រាវ HelloXD គឺផ្អែកលើកូដប្រភពលេចធ្លាយនៃការគំរាមកំហែង ransomware មួយផ្សេងទៀតដែលមានឈ្មោះថា Babuk / Babyk ។ គំរូដំបូងបានប្រើការរួមបញ្ចូលគ្នានៃ Curve25519-Donna និង HC-128 ដែលបានកែប្រែជាផ្នែកនៃដំណើរការអ៊ិនគ្រីបរបស់វា។ ទោះជាយ៉ាងណាក៏ដោយ កំណែក្រោយៗបានផ្លាស់ប្តូរ HC-128 សម្រាប់ស៊ីមេទ្រីទន្សាយលឿនជាងមុន។ HelloXD បង្កើតលេខសម្គាល់ជាក់លាក់មួយសម្រាប់ប្រព័ន្ធឆ្លងមេរោគនីមួយៗ ដែលជនរងគ្រោះត្រូវបានគេសន្មត់ថាផ្ញើទៅអ្នកវាយប្រហារ ដើម្បីទទួលបានសោរឌិគ្រីបត្រឹមត្រូវ។
ជាការពិតណាស់ ប្រតិបត្តិករនៃការគម្រាមកំហែងមានឆន្ទៈក្នុងការផ្តល់ជំនួយដល់ជនរងគ្រោះរបស់ពួកគេតែប៉ុណ្ណោះ បន្ទាប់ពីបានទទួលប្រាក់លោះយ៉ាងច្រើន។ តាមការពិត ដើម្បីធានាថាការទាមទាររបស់ពួកគេនឹងត្រូវបានឆ្លើយតប ពួក Hacker ដំណើរការគម្រោងជំរិតទារពីរដង។ នៅក្នុងការអនុវត្ត នេះមានន័យថាទិន្នន័យរបស់ឧបករណ៍ដែលបំពានត្រូវបានបញ្ចូនទៅម៉ាស៊ីនមេពីចម្ងាយ មុនពេលដែលទម្លាប់នៃការអ៊ិនគ្រីបត្រូវបានភ្ជាប់។ មិនដូចអង្គការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតផ្សេងទៀតទេ ប្រតិបត្តិករនៃ HelloXD Ransomware មិនរក្សាគេហទំព័រលេចធ្លាយជាក់លាក់នោះទេ។ ផ្ទុយទៅវិញ ពួកគេណែនាំអង្គការដែលទទួលរងផលប៉ះពាល់ បង្កើតទំនាក់ទំនងតាមរយៈ Tox Chat ដែលជាកម្មវិធីជជែកពីមិត្តភ័ក្តិ។ ពួក Hacker អាចនឹងផ្លាស់ទីឆ្ងាយពីអាកប្បកិរិយានេះ - កំណត់ត្រាតម្លៃលោះថ្មីៗមួយចំនួនដែលទម្លាក់ដោយ HelloXD មានតំណភ្ជាប់ទៅកាន់គេហទំព័រអសកម្មដែលបង្ហោះនៅលើបណ្តាញ Onion ។
របកគំហើញដ៏ចម្លែកមួយដែលត្រូវបានបង្កើតឡើងដោយអ្នកស្រាវជ្រាវ Unit 42 គឺថាសំណាក HelloXD មួយបានទម្លាក់ការគំរាមកំហែងផ្នែកខាងក្រោយនៅលើឧបករណ៍ដែលមានមេរោគ។ Backdoor គឺជាកំណែដែលបានកែប្រែនៃឧបករណ៍ប្រភពបើកចំហដែលមានឈ្មោះថា MicroBackdoor ដែលត្រូវបានអ៊ិនគ្រីបជាមួយ WinCrypt API ។ មេរោគបន្ថែមអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងរៀបចំប្រព័ន្ធឯកសារនៅលើម៉ាស៊ីនដែលបំពាន បង្ហោះឯកសារដែលបានជ្រើសរើស ចែកចាយឯកសារបន្ថែម ឬបន្ទុក និងដំណើរការការប្រតិបត្តិកូដពីចម្ងាយ (RCE)។ មេរោគ backdoor ក៏អាចត្រូវបានណែនាំឱ្យដកខ្លួនចេញពីឧបករណ៍របស់ជនរងគ្រោះផងដែរ។
