HelloXD Ransomware

HelloXD Ransomware je silná malvérová hrozba, ktorú využívajú kyberzločinci pri útokoch na systémy Windows aj Linux. Malvér prvýkrát upútal pozornosť výskumníkov v oblasti kybernetickej bezpečnosti v novembri 2021 a odvtedy sa neustále vyvíja. Niektoré z významnejších zmien, ktoré urobili autori hrozby, boli podrobne opísané v správe jednotky 42 Palo Alto Network.

Podľa výskumníkov je HelloXD založený na uniknutom zdrojovom kóde inej ransomvérovej hrozby s názvom Babuk / Babyk . Počiatočné vzorky používali kombináciu Curve25519-Donna a modifikovaného HC-128 ako súčasť procesu šifrovania. Neskoršie verzie však vymenili HC-128 za rýchlejšiu symetrickú šifru Rabbit. HelloXD generuje špecifické ID pre každý infikovaný systém, ktoré majú obete poslať útočníkom, aby dostali správne dešifrovacie kľúče.

Samozrejme, operátori hrozby sú ochotní poskytnúť pomoc svojim obetiam až po zaplatení tučného výkupného. V skutočnosti, aby zabezpečili, že ich požiadavky budú splnené, hackeri spustili schému dvojitého vydierania. V praxi to znamená, že údaje z napadnutých zariadení sú pred spustením šifrovacej rutiny exfiltrované na vzdialený server. Na rozdiel od iných kyberzločineckých organizácií prevádzkovatelia HelloXD Ransomware neudržiavajú vyhradenú stránku úniku. Namiesto toho inštruujú dotknuté organizácie, aby nadviazali komunikáciu cez Tox Chat, klient pre peer-to-peer chat. Hackeri by sa mohli vzdialiť od tohto správania – niektoré z novších výkupných, ktoré HelloXD upustilo, obsahujú odkaz na zatiaľ neaktívnu webovú stránku hosťovanú v sieti Onion.

Jedným z najzvláštnejších objavov výskumníkov z Unit 42 je, že jedna vzorka HelloXD vypustila na infikované zariadenie hrozbu zadných vrátok. Zadné vrátka sú upravenou verziou nástroja s otvoreným zdrojom s názvom MicroBackdoor, ktorý bol šifrovaný pomocou rozhrania WinCrypt API. Dodatočný malvér umožňuje aktérom hrozby manipulovať so súborovým systémom na poškodenom počítači, nahrávať vybrané súbory, doručovať ďalšie súbory alebo užitočné zaťaženia a spúšťať vzdialené spúšťanie kódu (RCE). Malvér typu backdoor môže dostať aj pokyn, aby sa odstránil zo zariadenia obete.