HelloXD Ransomware

HelloXD Ransomware เป็นภัยคุกคามมัลแวร์ที่มีศักยภาพ โดยอาชญากรไซเบอร์ใช้ในการโจมตีทั้งระบบ Windows และ Linux มัลแวร์ดังกล่าวได้รับความสนใจจากนักวิจัยด้านความปลอดภัยทางไซเบอร์เป็นครั้งแรกในเดือนพฤศจิกายน พ.ศ. 2564 และตั้งแต่นั้นมาก็มีการพัฒนาอย่างต่อเนื่อง การเปลี่ยนแปลงที่สำคัญกว่าบางอย่างที่ทำโดยผู้เขียนภัยคุกคามนั้นมีรายละเอียดอยู่ในรายงานโดยหน่วยที่ 42 ของ Palo Alto Network

ตามที่นักวิจัยกล่าวว่า HelloXD นั้นใช้ซอร์สโค้ดที่รั่วไหลออกมาของภัยคุกคามแรนซัมแวร์อื่นที่ชื่อว่า Babuk / Babyk ตัวอย่างเริ่มต้นใช้การผสมผสานระหว่าง Curve25519-Donna และ HC-128 ที่แก้ไขแล้วซึ่งเป็นส่วนหนึ่งของกระบวนการเข้ารหัส อย่างไรก็ตาม รุ่นที่ใหม่กว่าได้แลกเปลี่ยน HC-128 สำหรับการเข้ารหัสสมมาตรของ Rabbit ที่เร็วขึ้น HelloXD สร้าง ID เฉพาะสำหรับแต่ละระบบที่ติดไวรัส ซึ่งเหยื่อควรจะส่งไปยังผู้โจมตีเพื่อรับคีย์การถอดรหัสที่ถูกต้อง

แน่นอน ผู้ปฏิบัติการของภัยคุกคามเต็มใจที่จะให้ความช่วยเหลือแก่เหยื่อของพวกเขาเท่านั้นหลังจากได้รับค่าไถ่จำนวนมาก อันที่จริง เพื่อให้แน่ใจว่าจะตอบสนองความต้องการของพวกเขา แฮกเกอร์จึงใช้แผนการกรรโชกสองครั้ง ในทางปฏิบัติ นี่หมายความว่าข้อมูลของอุปกรณ์ที่ถูกเจาะจะถูกลบไปยังเซิร์ฟเวอร์ระยะไกลก่อนที่จะเริ่มใช้งานรูทีนการเข้ารหัส ไม่เหมือนกับองค์กรอาชญากรไซเบอร์อื่น ๆ ผู้ดำเนินการ HelloXD Ransomware ไม่ได้ดูแลไซต์การรั่วไหลโดยเฉพาะ แต่พวกเขาแนะนำให้องค์กรที่ได้รับผลกระทบสร้างการสื่อสารผ่าน Tox Chat ซึ่งเป็นไคลเอนต์การแชทแบบเพียร์ทูเพียร์ แฮกเกอร์อาจย้ายออกจากพฤติกรรมนี้ - บันทึกค่าไถ่ล่าสุดบางส่วนที่ HelloXD ทิ้งมีลิงก์ไปยังเว็บไซต์ที่ยังไม่ได้ใช้งานซึ่งโฮสต์บนเครือข่าย Onion

การค้นพบที่แปลกประหลาดอย่างหนึ่งของนักวิจัยจากหน่วย 42 คือตัวอย่าง HelloXD หนึ่งตัวอย่างได้ลบภัยคุกคามแบ็คดอร์บนอุปกรณ์ที่ติดไวรัส แบ็คดอร์เป็นเครื่องมือโอเพนซอร์ซรุ่นดัดแปลงที่เรียกว่า MicroBackdoor ซึ่งได้รับการเข้ารหัสด้วย WinCrypt API มัลแวร์เพิ่มเติมช่วยให้ผู้คุกคามสามารถจัดการระบบไฟล์บนเครื่องที่ถูกเจาะ อัปโหลดไฟล์ที่เลือก ส่งไฟล์หรือเพย์โหลดเพิ่มเติม และเรียกใช้การเรียกใช้โค้ดจากระยะไกล (RCE) มัลแวร์แบ็คดอร์สามารถสั่งให้ลบตัวเองออกจากอุปกรณ์ของเหยื่อได้