HelloXD Ransomware

HelloXD Ransomware är ett potent malware-hot, med cyberbrottslingar som använder det i attacker mot både Windows- och Linux-system. Skadlig programvara uppmärksammades först av cybersäkerhetsforskare redan i november 2021 och sedan dess har den kontinuerligt utvecklats. Några av de mer betydande förändringarna som gjorts av hotets författare beskrivs i en rapport från Palo Alto Networks enhet 42.

Enligt forskarna är HelloXD baserad på den läckta källkoden för ett annat ransomware-hot vid namn Babuk / Babyk . Initiala prover använde en kombination av Curve25519-Donna och en modifierad HC-128 som en del av sin krypteringsprocess. Senare versioner bytte dock ut HC-128 mot det snabbare symmetriska kanin-chifferet. HelloXD genererar ett specifikt ID för varje infekterat system som offren ska skicka till angriparna för att få de korrekta dekrypteringsnycklarna.

Naturligtvis är operatörerna av hotet bara villiga att ge hjälp till sina offer efter att ha fått en rejäl lösensumma. I själva verket, för att säkerställa att deras krav kommer att uppfyllas, kör hackarna ett system med dubbel utpressning. I praktiken innebär detta att data från de brutna enheterna exfiltreras till en fjärrserver innan krypteringsrutinen aktiveras. Till skillnad från andra cyberkriminella organisationer upprätthåller inte operatörerna av HelloXD Ransomware en dedikerad läckageplats. Istället instruerar de berörda organisationer att etablera kommunikation via Tox Chat, en peer-to-peer-chatklient. Hackarna kan vara på väg bort från detta beteende - några av de nyare lösensedlarna som HelloXD släppte innehåller en länk till en ännu inaktiv webbplats som finns på Onion-nätverket.

En av de mer märkliga upptäckterna som gjorts av Unit 42-forskarna är att ett HelloXD-prov tappade ett bakdörrshot på den infekterade enheten. Bakdörren är en modifierad version av ett öppen källkodsverktyg som heter MicroBackdoor som har krypterats med WinCrypt API. Den ytterligare skadliga programvaran tillåter hotaktörerna att manipulera filsystemet på den skadade maskinen, ladda upp valda filer, leverera ytterligare filer eller nyttolaster och köra fjärrkörning av kod (RCE). Bakdörrens skadliga program kan också instrueras att ta bort sig själv från offrets enhet.