HelloXD Ransomware
HelloXD Ransomware ir spēcīgs ļaunprātīgas programmatūras drauds, un kibernoziedznieki to izmanto uzbrukumos gan Windows, gan Linux sistēmām. Ļaunprātīga programmatūra kiberdrošības pētnieku uzmanību pirmo reizi piesaistīja 2021. gada novembrī, un kopš tā laika tā ir nepārtraukti attīstījusies. Dažas no nozīmīgākajām draudu autoru veiktajām izmaiņām tika detalizēti aprakstītas Palo Alto tīkla 42. nodaļas ziņojumā.
Pēc pētnieku domām, HelloXD pamatā ir cita izspiedējvīrusa apdraudējuma Babuk / Babyk nopludinātais pirmkods. Sākotnējos paraugos šifrēšanas procesā tika izmantota Curve25519-Donna un modificēta HC-128 kombinācija. Tomēr jaunākās versijas apmainīja HC-128 pret ātrāku Rabbit simetrisko šifru. HelloXD ģenerē īpašu ID katrai inficētajai sistēmai, kas upuriem ir jānosūta uzbrucējiem, lai saņemtu pareizās atšifrēšanas atslēgas.
Protams, draudu operatori ir gatavi sniegt palīdzību saviem upuriem tikai pēc tam, kad viņiem ir samaksāta krietna izpirkuma maksa. Faktiski, lai nodrošinātu viņu prasību izpildi, hakeri īsteno dubultas izspiešanas shēmu. Praksē tas nozīmē, ka bojāto ierīču dati tiek izfiltrēti uz attālo serveri, pirms tiek aktivizēta šifrēšanas rutīna. Atšķirībā no citām kibernoziedznieku organizācijām HelloXD Ransomware operatori neuztur īpašu noplūdes vietni. Tā vietā viņi uzdod ietekmētajām organizācijām izveidot saziņu, izmantojot Tox Chat, vienādranga tērzēšanas klientu. Hakeri varētu attālināties no šīs uzvedības — dažās jaunākajās HelloXD izpirkuma banknotēs ir ietverta saite uz pagaidām neaktīvu vietni, kas tiek mitināta Onion tīklā.
Viens no savdabīgākajiem 42. nodaļas pētnieku atklājumiem ir tāds, ka viens HelloXD paraugs inficētajai ierīcei novērsa aizmugures durvju draudus. Aizmugures durvis ir modificēta atvērtā pirmkoda rīka MicroBackdoor versija, kas ir šifrēta ar WinCrypt API. Papildu ļaunprogrammatūra ļauj apdraudējuma dalībniekiem manipulēt ar failu sistēmu uzlauztajā iekārtā, augšupielādēt izvēlētos failus, piegādāt papildu failus vai lietderīgās slodzes un palaist attālo koda izpildi (RCE). Aizmugurējo durvju ļaunprātīgajai programmatūrai var arī dot norādījumu noņemt sevi no upura ierīces.
