HelloXD Ransomware
De HelloXD Ransomware is een krachtige malwarebedreiging, die door cybercriminelen wordt gebruikt bij aanvallen op zowel Windows- als Linux-systemen. De malware trok voor het eerst de aandacht van cybersecurity-onderzoekers in november 2021 en is sindsdien continu in ontwikkeling. Enkele van de meer significante wijzigingen die door de auteurs van de dreiging zijn aangebracht, werden gedetailleerd beschreven in een rapport van Unit 42 van Palo Alto Network.
Volgens de onderzoekers is HelloXD gebaseerd op de gelekte broncode van een andere ransomware-bedreiging genaamd Babuk / Babyk . De eerste voorbeelden gebruikten een combinatie van Curve25519-Donna en een gemodificeerde HC-128 als onderdeel van het versleutelingsproces. Latere versies verwisselden HC-128 echter voor het snellere Rabbit symmetrische cijfer. HelloXD genereert voor elk geïnfecteerd systeem een specifieke ID die de slachtoffers naar de aanvallers moeten sturen om de juiste decoderingssleutels te ontvangen.
Natuurlijk zijn de exploitanten van de dreiging alleen bereid om hun slachtoffers te helpen nadat ze een flink losgeld hebben betaald. Om ervoor te zorgen dat aan hun eisen wordt voldaan, voeren de hackers een dubbel afpersingsschema uit. In de praktijk betekent dit dat de gegevens van de gehackte apparaten naar een externe server worden geëxfiltreerd voordat de versleutelingsroutine wordt ingeschakeld. In tegenstelling tot andere cybercriminele organisaties, onderhouden de operators van de HelloXD Ransomware geen speciale leksite. In plaats daarvan instrueren ze de getroffen organisaties om communicatie tot stand te brengen via Tox Chat, een peer-to-peer chatclient. De hackers zouden van dit gedrag kunnen afstappen - sommige van de meer recente losgeldbriefjes die door HelloXD zijn geplaatst, bevatten een link naar een tot nu toe inactieve website die wordt gehost op het Onion-netwerk.
Een van de meer merkwaardige ontdekkingen van de Unit 42-onderzoekers is dat een HelloXD-monster een achterdeurbedreiging op het geïnfecteerde apparaat heeft laten vallen. De achterdeur is een aangepaste versie van een open-source tool genaamd MicroBackdoor die is versleuteld met de WinCrypt API. De extra malware stelt de bedreigingsactoren in staat om het bestandssysteem op de geschonden computer te manipuleren, gekozen bestanden te uploaden, extra bestanden of payloads te leveren en remote code-uitvoering (RCE) uit te voeren. De backdoor-malware kan ook worden geïnstrueerd om zichzelf van het apparaat van het slachtoffer te verwijderen.
