HelloXD Ransomware
HelloXD Ransomware este o amenințare puternică de malware, infractorii cibernetici îl folosesc în atacuri împotriva sistemelor Windows și Linux. Malware-ul a atras pentru prima dată atenția cercetătorilor în securitate cibernetică în noiembrie 2021 și, de atunci, a evoluat continuu. Unele dintre schimbările mai semnificative făcute de autorii amenințării au fost detaliate într-un raport al Unității 42 a Rețelei Palo Alto.
Potrivit cercetătorilor, HelloXD se bazează pe codul sursă scurs al unei alte amenințări ransomware numită Babuk / Babyk . Mostrele inițiale au folosit o combinație de Curve25519-Donna și un HC-128 modificat ca parte a procesului său de criptare. Cu toate acestea, versiunile ulterioare au schimbat HC-128 cu cifrul mai rapid simetric Rabbit. HelloXD generează un ID specific pentru fiecare sistem infectat pe care victimele ar trebui să îl trimită atacatorilor pentru a primi cheile de decriptare corecte.
Desigur, operatorii amenințării sunt dispuși să ofere asistență victimelor doar după ce au primit o răscumpărare uriașă. De fapt, pentru a se asigura că cerințele lor vor fi îndeplinite, hackerii execută o schemă de dublă extorcare. În practică, aceasta înseamnă că datele dispozitivelor încălcate sunt exfiltrate pe un server la distanță înainte ca rutina de criptare să fie angajată. Spre deosebire de alte organizații criminale cibernetice, operatorii HelloXD Ransomware nu mențin un site dedicat de scurgeri. În schimb, ei instruiesc organizațiile afectate să stabilească comunicare prin Tox Chat, un client de chat peer-to-peer. Hackerii ar putea să se îndepărteze de acest comportament - unele dintre notele de răscumpărare mai recente trimise de HelloXD conțin un link către un site web încă inactiv găzduit în rețeaua Onion.
Una dintre cele mai ciudate descoperiri făcute de cercetătorii Unității 42 este că un eșantion HelloXD a aruncat o amenințare backdoor asupra dispozitivului infectat. Backdoor este o versiune modificată a unui instrument open-source numit MicroBackdoor, care a fost criptat cu WinCrypt API. Malware-ul suplimentar permite actorilor amenințărilor să manipuleze sistemul de fișiere de pe mașina violată, să încarce fișierele alese, să livreze fișiere sau încărcări utile suplimentare și să execute execuția codului de la distanță (RCE). De asemenea, programul malware backdoor poate fi instruit să se elimine de pe dispozitivul victimei.
