HelloXD Ransomware

HelloXD Ransomware er en potent skadelig programvaretrussel, med nettkriminelle som bruker den i angrep mot både Windows- og Linux-systemer. Skadevaren fanget først oppmerksomheten til cybersikkerhetsforskere tilbake i november 2021, og siden den gang har den vært i kontinuerlig utvikling. Noen av de mer betydningsfulle endringene gjort av trusselens forfattere ble beskrevet i en rapport fra Palo Alto Networks enhet 42.

Ifølge forskerne er HelloXD basert på den lekkede kildekoden til en annen ransomware-trussel kalt Babuk / Babyk . Innledende prøver brukte en kombinasjon av Curve25519-Donna og en modifisert HC-128 som en del av krypteringsprosessen. Senere versjoner byttet imidlertid ut HC-128 med det raskere symmetriske chifferet for Rabbit. HelloXD genererer en spesifikk ID for hvert infiserte system som ofrene skal sende til angriperne for å motta de riktige dekrypteringsnøklene.

Selvsagt er trusseloperatørene bare villige til å yte bistand til sine ofre etter å ha blitt betalt en heftig løsepenger. Faktisk, for å sikre at kravene deres blir oppfylt, kjører hackerne en ordning med dobbeltutpressing. I praksis betyr dette at dataene til enhetene som brytes, eksfiltreres til en ekstern server før krypteringsrutinen aktiveres. I motsetning til andre cyberkriminelle organisasjoner, har ikke operatørene av HelloXD Ransomware et dedikert lekkasjested. I stedet instruerer de de berørte organisasjonene om å etablere kommunikasjon via Tox Chat, en peer-to-peer chat-klient. Hackerne kan være på vei bort fra denne oppførselen - noen av de nyere løsepengene som HelloXD har sendt inn, inneholder en lenke til et foreløpig inaktivt nettsted som er vert på Onion-nettverket.

En av de mer særegne oppdagelsene gjort av Unit 42-forskerne er at en HelloXD-prøve slapp en bakdørstrussel på den infiserte enheten. Bakdøren er en modifisert versjon av et åpen kildekodeverktøy kalt MicroBackdoor som er kryptert med WinCrypt API. Den ekstra skadelige programvaren lar trusselaktørene manipulere filsystemet på den ødelagte maskinen, laste opp valgte filer, levere tilleggsfiler eller nyttelaster og kjøre ekstern kjøring av kode (RCE). Bakdørens skadevare kan også bli bedt om å fjerne seg selv fra offerets enhet.