HelloXD Ransomware
HelloXD Ransomware jest poważnym zagrożeniem złośliwym oprogramowaniem, a cyberprzestępcy używają go w atakach na systemy Windows i Linux. Złośliwe oprogramowanie po raz pierwszy zwróciło uwagę badaczy cyberbezpieczeństwa w listopadzie 2021 r. i od tego czasu stale ewoluuje. Niektóre z bardziej znaczących zmian wprowadzonych przez autorów zagrożenia zostały szczegółowo opisane w raporcie Jednostki 42 Palo Alto Network.
Według badaczy, HelloXD bazuje na ujawnionym kodzie źródłowym innego zagrożenia ransomware o nazwie Babuk / Babyk . Początkowe próbki wykorzystywały kombinację Curve25519-Donna i zmodyfikowanego HC-128 w ramach procesu szyfrowania. Jednak późniejsze wersje wymieniły HC-128 na szybszy szyfr symetryczny Rabbit. HelloXD generuje określony identyfikator dla każdego zainfekowanego systemu, który ofiary mają wysłać do atakujących, aby otrzymać prawidłowe klucze odszyfrowywania.
Oczywiście operatorzy zagrożenia są gotowi udzielić pomocy swoim ofiarom dopiero po zapłaceniu sowitego okupu. W rzeczywistości, aby zapewnić spełnienie ich żądań, hakerzy stosują schemat podwójnego wymuszenia. W praktyce oznacza to, że dane z naruszonych urządzeń są eksfiltrowane na zdalny serwer przed uruchomieniem procedury szyfrowania. W przeciwieństwie do innych organizacji cyberprzestępczych, operatorzy HelloXD Ransomware nie prowadzą dedykowanej strony wycieku. Zamiast tego instruują dotknięte organizacje, aby nawiązały komunikację za pośrednictwem Tox Chat, klienta czatu peer-to-peer. Hakerzy mogą odchodzić od tego zachowania – niektóre z nowszych notatek dotyczących okupu upuszczanych przez HelloXD zawierają link do jeszcze nieaktywnej witryny hostowanej w sieci Onion.
Jednym z bardziej osobliwych odkryć dokonanych przez badaczy z Unit 42 jest to, że jedna próbka HelloXD zrzuciła zagrożenie typu backdoor na zainfekowane urządzenie. Backdoor to zmodyfikowana wersja narzędzia o otwartym kodzie źródłowym o nazwie MicroBackdoor, które zostało zaszyfrowane za pomocą interfejsu WinCrypt API. Dodatkowe złośliwe oprogramowanie pozwala cyberprzestępcom manipulować systemem plików na zainfekowanej maszynie, przesyłać wybrane pliki, dostarczać dodatkowe pliki lub ładunki oraz uruchamiać zdalne wykonanie kodu (RCE). Złośliwe oprogramowanie typu backdoor może również zostać poinstruowane, aby usunąć się z urządzenia ofiary.
