HelloXD Ransomware

ХеллоКСД Рансомваре је моћна претња малвера, а сајбер криминалци га користе у нападима на Виндовс и Линук системе. Малвер је први пут привукао пажњу истраживача сајбер безбедности још у новембру 2021. године и од тада се непрестано развија. Неке од значајнијих промена које су направили аутори претње су детаљно описане у извештају Јединице 42 мреже Пало Алто.

Према истраживачима, ХеллоКСД је заснован на процурелом изворном коду друге претње рансомваре-а под називом Бабук / Бабик . Иницијални узорци су користили комбинацију Цурве25519-Донна и модификованог ХЦ-128 као део процеса шифровања. Међутим, касније верзије су замениле ХЦ-128 за бржу Раббит симетричну шифру. ХеллоКСД генерише одређени ИД за сваки заражени систем који жртве треба да пошаљу нападачима да добију исправне кључеве за дешифровање.

Наравно, оператери претње су вољни да пруже помоћ својим жртвама само након што им плате позамашну откупнину. У ствари, да би осигурали да ће њихови захтеви бити испуњени, хакери воде шему двоструке изнуде. У пракси, то значи да се подаци са оштећених уређаја ексфилтрирају на удаљени сервер пре него што се активира рутина шифровања. За разлику од других сајбер криминалних организација, оператери ХеллоКСД Рансомваре-а не одржавају наменску локацију за цурење. Уместо тога, они упућују погођеним организацијама да успоставе комуникацију путем Ток Цхат-а, пеер-то-пеер клијента за ћаскање. Хакери би се могли удаљити од оваквог понашања - неке од новијих белешки о откупнини које је избацио ХеллоКСД садрже везу ка још неактивној веб локацији која се налази на мрежи Онион.

Једно од необичнијих открића које су дошли истраживачи Јединице 42 је да је један ХеллоКСД узорак испустио бацкдоор претњу на заражени уређај. Бацкдоор је модификована верзија алатке отвореног кода под називом МицроБацкдоор која је шифрована помоћу ВинЦрипт АПИ-ја. Додатни злонамерни софтвер омогућава актерима претњи да манипулишу системом датотека на оштећеној машини, отпреме изабране датотеке, испоруче додатне датотеке или корисне податке и покрећу даљинско извршавање кода (РЦЕ). Позадинском малверу такође може бити наложено да се уклони са уређаја жртве.