HelloXD 랜섬웨어

HelloXD 랜섬웨어는 강력한 맬웨어 위협이며 사이버 범죄자들은 Windows 및 Linux 시스템에 대한 공격에 이를 사용합니다. 맬웨어는 2021년 11월에 사이버 보안 연구원의 관심을 처음 끌었으며 그 이후로 지속적으로 진화해 왔습니다. 위협 작성자가 수행한 보다 중요한 변경 사항 중 일부는 Palo Alto Network의 Unit 42 보고서에 자세히 설명되어 있습니다.

연구원들에 따르면 HelloXD는 Babuk / Babyk 라는 또 다른 랜섬웨어 위협의 유출된 소스 코드를 기반으로 합니다. 초기 샘플은 암호화 프로세스의 일부로 Curve25519-Donna와 수정된 HC-128의 조합을 사용했습니다. 그러나 이후 버전에서는 더 빠른 Rabbit 대칭 암호로 HC-128을 교환했습니다. HelloXD는 피해자가 올바른 암호 해독 키를 받기 위해 공격자에게 보내야 하는 각 감염된 시스템에 대한 특정 ID를 생성합니다.

물론, 위협의 운영자는 막대한 몸값을 지불한 후에만 희생자에게 기꺼이 도움을 제공합니다. 실제로 해커는 요구 사항을 충족하기 위해 이중 갈취 계획을 실행합니다. 실제로 이것은 암호화 루틴이 실행되기 전에 침해된 장치의 데이터가 원격 서버로 유출됨을 의미합니다. HelloXD 랜섬웨어의 운영자는 다른 사이버 범죄 조직과 달리 전용 누출 사이트를 유지 관리하지 않습니다. 대신, 영향을 받는 조직에 P2P 채팅 클라이언트인 Tox Chat을 통해 통신을 설정하도록 지시합니다. 해커는 이 행동에서 멀어질 수 있습니다. HelloXD가 삭제한 최근 랜섬 노트에는 Onion 네트워크에서 호스팅되는 아직 비활성화된 웹사이트에 대한 링크가 포함되어 있습니다.

Unit 42 연구원이 발견한 더 특이한 점 중 하나는 HelloXD 샘플 하나가 감염된 장치에 백도어 위협을 떨어뜨렸다는 것입니다. 백도어는 WinCrypt API로 암호화된 MicroBackdoor라는 오픈 소스 도구의 수정된 버전입니다. 추가 맬웨어를 통해 위협 행위자는 침해된 시스템의 파일 시스템을 조작하고, 선택한 파일을 업로드하고, 추가 파일 또는 페이로드를 전달하고, 원격 코드 실행(RCE)을 실행할 수 있습니다. 백도어 악성코드는 피해자의 기기에서 스스로 제거하도록 지시할 수도 있습니다.