HelloXD Ransomware

„HelloXD Ransomware“ yra stipri kenkėjiškų programų grėsmė, kurią kibernetiniai nusikaltėliai naudoja atakoms prieš „Windows“ ir „Linux“ sistemas. Kenkėjiška programa pirmą kartą patraukė kibernetinio saugumo tyrinėtojų dėmesį dar 2021 m. lapkritį ir nuo to laiko ji buvo nuolat tobulinama. Kai kurie reikšmingesni grėsmės autorių pakeitimai buvo išsamiai aprašyti Palo Alto tinklo 42 skyriaus ataskaitoje.

Tyrėjų teigimu, HelloXD yra pagrįstas kitos išpirkos reikalaujančios grėsmės, pavadintos Babuk / Babyk , nutekėjusiu šaltinio kodu. Pradiniuose pavyzdžiuose kaip šifravimo proceso dalis buvo naudojamas Curve25519-Donna ir modifikuoto HC-128 derinys. Tačiau vėlesnėse versijose HC-128 buvo pakeistas į greitesnį Rabbit simetrinį šifrą. HelloXD sukuria konkretų ID kiekvienai užkrėstai sistemai, kurią aukos turėtų siųsti užpuolikams, kad gautų teisingus iššifravimo raktus.

Žinoma, grėsmės operatoriai yra pasirengę suteikti pagalbą savo aukoms tik sumokėję didelę išpirką. Tiesą sakant, norėdami užtikrinti, kad jų reikalavimai bus patenkinti, įsilaužėliai vykdo dvigubo turto prievartavimo schemą. Praktiškai tai reiškia, kad pažeistų įrenginių duomenys išfiltruojami į nuotolinį serverį prieš pradedant šifravimo procedūrą. Skirtingai nuo kitų kibernetinių nusikaltėlių organizacijų, HelloXD Ransomware operatoriai neprižiūri tam skirtos informacijos nutekėjimo svetainės. Vietoj to, jie nurodo paveiktoms organizacijoms užmegzti ryšį per Tox Chat, lygiaverčių pokalbių klientą. Įsilaužėliai gali pasitraukti nuo tokio elgesio – kai kuriuose naujesniuose „HelloXD“ išleistuose išpirkos raštuose yra nuoroda į kol kas neaktyvią svetainę, esančią „Onion“ tinkle.

Vienas iš ypatingesnių 42 skyriaus tyrėjų atradimų yra tas, kad vienas HelloXD pavyzdys užkrėsto įrenginio užpakalinių durų grėsmę sukėlė. Užpakalinės durys yra modifikuota atvirojo kodo įrankio, vadinamo MicroBackdoor, versija, kuri buvo užšifruota naudojant „WinCrypt“ API. Papildoma kenkėjiška programa leidžia grėsmės veikėjams manipuliuoti pažeisto įrenginio failų sistema, įkelti pasirinktus failus, pristatyti papildomus failus ar naudingus krovinius ir vykdyti nuotolinį kodo vykdymą (RCE). Užpakalinių durų kenkėjiška programa taip pat gali būti nurodyta, kad ji pasišalintų iš aukos įrenginio.