HelloXD Ransomware

HelloXD Ransomware ஒரு சக்திவாய்ந்த தீம்பொருள் அச்சுறுத்தலாகும், சைபர் குற்றவாளிகள் விண்டோஸ் மற்றும் லினக்ஸ் அமைப்புகளுக்கு எதிரான தாக்குதல்களில் இதைப் பயன்படுத்துகின்றனர். தீம்பொருள் முதலில் நவம்பர் 2021 இல் சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்களின் கவனத்தை ஈர்த்தது, அதன் பின்னர், அது தொடர்ந்து உருவாகி வருகிறது. அச்சுறுத்தலின் ஆசிரியர்களால் செய்யப்பட்ட சில குறிப்பிடத்தக்க மாற்றங்கள் பாலோ ஆல்டோ நெட்வொர்க்கின் யூனிட் 42 இன் அறிக்கையில் விவரிக்கப்பட்டுள்ளன.

ஆராய்ச்சியாளர்களின் கூற்றுப்படி, Babuk / Babyk என்ற மற்றொரு ransomware அச்சுறுத்தலின் கசிந்த மூலக் குறியீட்டை அடிப்படையாகக் கொண்டது HelloXD . ஆரம்ப மாதிரிகள் அதன் குறியாக்க செயல்முறையின் ஒரு பகுதியாக Curve25519-Donna மற்றும் மாற்றியமைக்கப்பட்ட HC-128 ஆகியவற்றின் கலவையைப் பயன்படுத்தின. இருப்பினும், பிந்தைய பதிப்புகள் வேகமான ராபிட் சமச்சீர் சைஃபருக்கு HC-128 ஐ மாற்றின. HelloXD ஒவ்வொரு பாதிக்கப்பட்ட அமைப்புக்கும் ஒரு குறிப்பிட்ட ஐடியை உருவாக்குகிறது, அதை பாதிக்கப்பட்டவர்கள் சரியான மறைகுறியாக்க விசைகளைப் பெற தாக்குபவர்களுக்கு அனுப்ப வேண்டும்.

நிச்சயமாக, அச்சுறுத்தலின் ஆபரேட்டர்கள் ஒரு பெரிய மீட்கும் தொகையை செலுத்திய பிறகு மட்டுமே பாதிக்கப்பட்டவர்களுக்கு உதவ தயாராக உள்ளனர். உண்மையில், அவர்களின் கோரிக்கைகள் நிறைவேற்றப்படுவதை உறுதிசெய்ய, ஹேக்கர்கள் இரட்டை மிரட்டி பணம் பறிக்கும் திட்டத்தை நடத்துகின்றனர். நடைமுறையில், குறியாக்க வழக்கத்தில் ஈடுபடும் முன், மீறப்பட்ட சாதனங்களின் தரவு தொலை சேவையகத்திற்கு வெளியேற்றப்படும். மற்ற சைபர் கிரைமினல் நிறுவனங்களைப் போலல்லாமல், HelloXD Ransomware இன் ஆபரேட்டர்கள் பிரத்யேக கசிவு தளத்தை பராமரிப்பதில்லை. அதற்கு பதிலாக, அவர்கள் பாதிக்கப்பட்ட நிறுவனங்களுக்கு டோக்ஸ் சாட், பியர்-டு-பியர் அரட்டை கிளையன்ட் மூலம் தொடர்பு கொள்ள அறிவுறுத்துகிறார்கள். ஹேக்கர்கள் இந்த நடத்தையிலிருந்து விலகிச் செல்லக்கூடும் - HelloXD ஆல் கைவிடப்பட்ட சில சமீபத்திய மீட்புக் குறிப்புகளில் வெங்காய நெட்வொர்க்கில் ஹோஸ்ட் செய்யப்பட்ட இன்னும் செயலற்ற இணையதளத்திற்கான இணைப்பைக் கொண்டுள்ளது.

யூனிட் 42 ஆராய்ச்சியாளர்களால் செய்யப்பட்ட மிகவும் விசித்திரமான கண்டுபிடிப்புகளில் ஒன்று, ஒரு HelloXD மாதிரி பாதிக்கப்பட்ட சாதனத்தில் பின்கதவு அச்சுறுத்தலைக் கைவிட்டது. பின்கதவு என்பது WinCrypt API உடன் குறியாக்கம் செய்யப்பட்ட MicroBackdoor எனப்படும் திறந்த மூலக் கருவியின் மாற்றியமைக்கப்பட்ட பதிப்பாகும். மீறப்பட்ட கணினியில் கோப்பு முறைமையைக் கையாளவும், தேர்ந்தெடுக்கப்பட்ட கோப்புகளைப் பதிவேற்றவும், கூடுதல் கோப்புகள் அல்லது பேலோடுகளை வழங்கவும், ரிமோட் குறியீடு செயல்படுத்துதலை (RCE) இயக்கவும் அச்சுறுத்தல் நடிகர்களை கூடுதல் தீம்பொருள் அனுமதிக்கிறது. பின்கதவு மால்வேர் பாதிக்கப்பட்டவரின் சாதனத்திலிருந்து தன்னைத்தானே அகற்றும்படி அறிவுறுத்தப்படலாம்.