HelloXD Ransomware

Descrição do HelloXD Ransomware

O HelloXD Ransomware é uma potente ameaça de malware, com cibercriminosos usando-o em ataques contra sistemas Windows e Linux. O malware chamou a atenção dos pesquisadores de segurança cibernética pela primeira vez em novembro de 2021 e, desde então, tem evoluído continuamente. Algumas das mudanças mais significativas feitas pelos autores da ameaça foram detalhadas em um relatório da Unidade 42 da Palo Alto Network.

De acordo com os pesquisadores, o HelloXD é baseado no código-fonte vazado de outra ameaça de ransomware chamada Babuk/Babyk. As amostras iniciais usaram uma combinação de Curve25519-Donna e um HC-128 modificado como parte de seu processo de criptografia. No entanto, versões posteriores trocaram o HC-128 pela cifra simétrica Rabbit mais rápida. O HelloXD gera um ID específico para cada sistema infectado que as vítimas devem enviar aos invasores para receber as chaves de descriptografia corretas.

Obviamente, os operadores da ameaça só estão dispostos a prestar assistência às suas vítimas depois de receberem um resgate pesado. Na verdade, para garantir que suas demandas sejam atendidas, os hackers executam um esquema de dupla extorsão. Na prática, isso significa que os dados dos dispositivos violados são exfiltrados para um servidor remoto antes que a rotina de criptografia seja acionada. Ao contrário de outras organizações cibercriminosas, os operadores do HelloXD Ransomware não mantêm um site de vazamento dedicado. Em vez disso, eles instruem as organizações afetadas a estabelecer comunicação via Tox Chat, um cliente de bate-papo ponto a ponto. Os hackers podem estar se afastando desse comportamento - algumas das notas de resgate mais recentes lançadas pelo HelloXD contêm um link para um site ainda inativo hospedado na rede Onion.

Uma das descobertas mais peculiares feitas pelos pesquisadores da Unidade 42 é que uma amostra do HelloXD lançou uma ameaça de backdoor no dispositivo infectado. O backdoor é uma versão modificada de uma ferramenta de código aberto chamada MicroBackdoor que foi criptografada com a API WinCrypt. O malware adicional permite que os agentes da ameaça manipulem o sistema de arquivos na máquina violada, carreguem os arquivos escolhidos, entreguem arquivos ou cargas adicionais e executem a execução remota de código (RCE). O malware backdoor também pode ser instruído a se remover do dispositivo da vítima.