Threat Database Ransomware HelloXD Ransomware

HelloXD Ransomware

HelloXD Ransomware ialah ancaman perisian hasad yang kuat, dengan penjenayah siber menggunakannya dalam serangan terhadap kedua-dua sistem Windows dan Linux. Perisian hasad mula menarik perhatian penyelidik keselamatan siber pada November 2021 dan, sejak itu, ia terus berkembang. Beberapa perubahan yang lebih ketara yang dibuat oleh pengarang ancaman itu diperincikan dalam laporan oleh Unit 42 Rangkaian Palo Alto.

Menurut penyelidik, HelloXD adalah berdasarkan kod sumber bocor ancaman perisian tebusan lain bernama Babuk / Babyk . Sampel awal menggunakan gabungan Curve25519-Donna dan HC-128 yang diubah suai sebagai sebahagian daripada proses penyulitannya. Walau bagaimanapun, versi kemudian menukar HC-128 untuk sifir simetri Arnab yang lebih pantas. HelloXD menjana ID khusus untuk setiap sistem yang dijangkiti yang sepatutnya dihantar oleh mangsa kepada penyerang untuk menerima kunci penyahsulitan yang betul.

Sudah tentu, pengendali ancaman hanya sanggup menghulurkan bantuan kepada mangsa mereka selepas dibayar wang tebusan yang besar. Malah, untuk memastikan tuntutan mereka dipenuhi, penggodam menjalankan skim pemerasan berganda. Dalam amalan, ini bermakna bahawa data peranti yang dilanggar dieksfiltrasi ke pelayan jauh sebelum rutin penyulitan digunakan. Tidak seperti organisasi penjenayah siber lain, pengendali HelloXD Ransomware tidak mengekalkan tapak kebocoran khusus. Sebaliknya, mereka mengarahkan organisasi yang terjejas untuk mewujudkan komunikasi melalui Tox Chat, pelanggan sembang rakan ke rakan. Penggodam boleh menjauhkan diri daripada tingkah laku ini - beberapa nota tebusan yang lebih terkini yang digugurkan oleh HelloXD mengandungi pautan ke tapak web yang belum aktif yang dihoskan pada rangkaian Onion.

Salah satu penemuan yang lebih pelik yang dibuat oleh penyelidik Unit 42 ialah satu sampel HelloXD menjatuhkan ancaman pintu belakang pada peranti yang dijangkiti. Pintu belakang ialah versi diubah suai alat sumber terbuka yang dipanggil MicroBackdoor yang telah disulitkan dengan API WinCrypt. Malware tambahan membolehkan pelaku ancaman memanipulasi sistem fail pada mesin yang dilanggar, memuat naik fail yang dipilih, menghantar fail atau muatan tambahan dan menjalankan pelaksanaan kod jauh (RCE). Malware pintu belakang juga boleh diarahkan untuk mengalih keluar dirinya daripada peranti mangsa.

Trending

Paling banyak dilihat

Memuatkan...