HelloXD Ransomware

HelloXD Ransomware je močna grožnja zlonamerne programske opreme, ki jo kibernetski kriminalci uporabljajo pri napadih na sisteme Windows in Linux. Zlonamerna programska oprema je prvič pritegnila pozornost raziskovalcev kibernetske varnosti novembra 2021 in od takrat se nenehno razvija. Nekatere pomembnejše spremembe, ki so jih naredili avtorji grožnje, so bile podrobno opisane v poročilu enote 42 mreže Palo Alto.

Po mnenju raziskovalcev HelloXD temelji na odkriti izvorni kodi druge grožnje z izsiljevalsko programsko opremo, imenovano Babuk / Babyk . Začetni vzorci so uporabili kombinacijo Curve25519-Donna in spremenjenega HC-128 kot del postopka šifriranja. Vendar so poznejše različice zamenjale HC-128 za hitrejšo Rabbit simetrično šifro. HelloXD ustvari poseben ID za vsak okuženi sistem, ki naj bi ga žrtve poslale napadalcem, da bi prejeli pravilne ključe za dešifriranje.

Seveda so izvajalci grožnje pripravljeni pomagati svojim žrtvam šele po plačilu visoke odkupnine. Da bi zagotovili, da bodo njihove zahteve izpolnjene, hekerji izvajajo shemo dvojnega izsiljevanja. V praksi to pomeni, da se podatki vlomljenih naprav izločijo na oddaljeni strežnik, preden se izvede šifrirna rutina. Za razliko od drugih kibernetičnih kriminalnih organizacij, operaterji HelloXD Ransomware ne vzdržujejo namenskega mesta za uhajanje. Namesto tega naročijo prizadetim organizacijam, naj vzpostavijo komunikacijo prek Tox Chata, odjemalca za medsebojni klepet. Hekerji bi se lahko oddaljili od tega vedenja - nekateri novejši odkupninski zapiski, ki jih je izdal HelloXD, vsebujejo povezavo do še neaktivnega spletnega mesta, ki gostuje v omrežju Onion.

Eno bolj nenavadnih odkritij raziskovalcev enote 42 je, da je en vzorec HelloXD na okuženo napravo spustil grožnjo iz zakulisja. Backdoor je spremenjena različica odprtokodnega orodja, imenovanega MicroBackdoor, ki je šifrirano z API-jem WinCrypt. Dodatna zlonamerna programska oprema omogoča akterjem grožnje, da manipulirajo z datotečnim sistemom na poškodovanem računalniku, naložijo izbrane datoteke, dostavijo dodatne datoteke ali koristne podatke in zaženejo oddaljeno izvajanje kode (RCE). Zlonamerni programski opremi lahko tudi naročite, da se odstrani iz naprave žrtve.