HelloXD Ransomware

Программа-вымогатель HelloXD представляет собой мощную вредоносную угрозу, и киберпреступники используют ее для атак на системы Windows и Linux. Вредоносное ПО впервые привлекло внимание исследователей кибербезопасности еще в ноябре 2021 года и с тех пор постоянно развивается. Некоторые из наиболее значительных изменений, внесенных авторами угрозы, были подробно описаны в отчете Unit 42 Palo Alto Network.

По словам исследователей, HelloXD основан на утечке исходного кода другой угрозы-вымогателя под названием Babuk / Babyk . Первоначальные образцы использовали комбинацию Curve25519-Donna и модифицированного HC-128 как часть процесса шифрования. Однако более поздние версии заменили HC-128 на более быстрый симметричный шифр Rabbit. HelloXD генерирует специальный идентификатор для каждой зараженной системы, который жертвы должны отправить злоумышленникам для получения правильных ключей дешифрования.

Конечно, операторы угрозы готовы оказать помощь своим жертвам только после выплаты солидного выкупа. На самом деле, чтобы гарантировать выполнение своих требований, хакеры используют схему двойного вымогательства. На практике это означает, что данные взломанных устройств эксфильтрируются на удаленный сервер до того, как будет задействована процедура шифрования. В отличие от других киберпреступных организаций, операторы HelloXD Ransomware не имеют специального сайта утечки. Вместо этого они инструктируют пострадавшие организации установить связь через Tox Chat, клиент однорангового чата. Хакеры могли отказаться от такого поведения — некоторые из последних заметок о выкупе, оставленных HelloXD, содержат ссылку на еще неактивный веб-сайт, размещенный в сети Onion.

Одним из наиболее необычных открытий, сделанных исследователями из Unit 42, является то, что один образец HelloXD сбрасывал на зараженное устройство бэкдор-угрозу. Бэкдор представляет собой модифицированную версию инструмента с открытым исходным кодом под названием MicroBackdoor, который был зашифрован с помощью WinCrypt API. Дополнительное вредоносное ПО позволяет злоумышленникам манипулировать файловой системой на взломанной машине, загружать выбранные файлы, доставлять дополнительные файлы или полезные данные и запускать удаленное выполнение кода (RCE). Вредоносная программа-бэкдор также может быть проинструктирована удалить себя с устройства жертвы.