HelloXD Ransomware
Ang HelloXD Ransomware ay isang malakas na banta ng malware, na ginagamit ito ng mga cybercriminal sa mga pag-atake laban sa parehong Windows at Linux system. Ang malware ay unang nakakuha ng atensyon ng mga mananaliksik sa cybersecurity noong Nobyembre 2021 at, mula noon, ito ay patuloy na umuunlad. Ang ilan sa mga mas makabuluhang pagbabagong ginawa ng mga may-akda ng pagbabanta ay idinetalye sa isang ulat ng Palo Alto Network's Unit 42.
Ayon sa mga mananaliksik, ang HelloXD ay batay sa leaked source code ng isa pang banta ng ransomware na pinangalanang Babuk / Babyk . Ang mga paunang sample ay gumamit ng kumbinasyon ng Curve25519-Donna at isang binagong HC-128 bilang bahagi ng proseso ng pag-encrypt nito. Gayunpaman, pinalitan ng mga susunod na bersyon ang HC-128 para sa mas mabilis na Rabbit symmetric cipher. Bumubuo ang HelloXD ng isang partikular na ID para sa bawat nahawaang system na dapat ipadala ng mga biktima sa mga umaatake upang matanggap ang mga tamang decryption key.
Siyempre, ang mga operator ng pagbabanta ay handa lamang magbigay ng tulong sa kanilang mga biktima matapos mabayaran ng mabigat na ransom. Sa katunayan, upang matiyak na ang kanilang mga kahilingan ay matugunan, ang mga hacker ay nagpapatakbo ng isang double-extortion scheme. Sa pagsasagawa, nangangahulugan ito na ang data ng mga nalabag na device ay na-exfiltrate sa isang malayuang server bago isagawa ang nakagawiang pag-encrypt. Hindi tulad ng ibang mga organisasyong cybercriminal, ang mga operator ng HelloXD Ransomware ay hindi nagpapanatili ng isang nakatuong site ng pagtagas. Sa halip, tinuturuan nila ang mga apektadong organisasyon na magtatag ng komunikasyon sa pamamagitan ng Tox Chat, isang peer-to-peer chat client. Ang mga hacker ay maaaring lumayo sa gawi na ito - ang ilan sa mga pinakahuling ransom notes na ibinagsak ng HelloXD ay naglalaman ng isang link sa isang hindi pa aktibong website na naka-host sa Onion network.
Isa sa mga mas kakaibang pagtuklas na ginawa ng mga mananaliksik ng Unit 42 ay ang isang sample ng HelloXD ay naghulog ng banta sa likod ng pinto sa nahawaang device. Ang backdoor ay isang binagong bersyon ng isang open-source na tool na tinatawag na MicroBackdoor na na-encrypt gamit ang WinCrypt API. Ang karagdagang malware ay nagbibigay-daan sa mga banta ng aktor na manipulahin ang file system sa nilabag na makina, mag-upload ng mga napiling file, maghatid ng mga karagdagang file o payload, at magpatakbo ng remote code execution (RCE). Ang backdoor malware ay maaari ding turuan na alisin ang sarili nito sa device ng biktima.
