HelloXD Ransomware

HelloXD Ransomware, siber suçluların hem Windows hem de Linux sistemlerine yönelik saldırılarda kullandığı güçlü bir kötü amaçlı yazılım tehdididir. Kötü amaçlı yazılım ilk olarak Kasım 2021'de siber güvenlik araştırmacılarının dikkatini çekti ve o zamandan beri sürekli gelişiyor. Tehdit yazarları tarafından yapılan daha önemli değişikliklerden bazıları, Palo Alto Network'ün 42. Birimi tarafından hazırlanan bir raporda detaylandırılmıştır.

Araştırmacılara göre HelloXD, Babuk/ Babuk adlı başka bir fidye yazılımı tehdidinin sızdırılan kaynak koduna dayanıyor. İlk örnekler, şifreleme işleminin bir parçası olarak Curve25519-Donna ve değiştirilmiş bir HC-128 kombinasyonunu kullandı. Ancak, sonraki sürümler HC-128'i daha hızlı Tavşan simetrik şifresiyle değiştirdi. HelloXD, kurbanların doğru şifre çözme anahtarlarını almak için saldırganlara göndermesi gereken virüslü her sistem için belirli bir kimlik oluşturur.

Tabii ki, tehdidin operatörleri, kurbanlarına ancak yüklü bir fidye ödendikten sonra yardım etmeye isteklidir. Aslında, hackerlar taleplerinin karşılanmasını sağlamak için çifte gasp planı yürütürler. Pratikte bu, ihlal edilen cihazların verilerinin şifreleme rutini devreye alınmadan önce uzak bir sunucuya aktarıldığı anlamına gelir. Diğer siber suç örgütlerinin aksine, HelloXD Ransomware operatörleri özel bir sızıntı sitesi tutmaz. Bunun yerine, etkilenen kuruluşlara, eşler arası bir sohbet istemcisi olan Tox Chat aracılığıyla iletişim kurmaları talimatını veriyorlar. Bilgisayar korsanları bu davranıştan uzaklaşıyor olabilir - HelloXD tarafından atılan daha yeni fidye notlarından bazıları, Onion ağında barındırılan henüz etkin olmayan bir web sitesine bir bağlantı içerir.

Birim 42 araştırmacıları tarafından yapılan daha tuhaf keşiflerden biri, bir HelloXD örneğinin virüslü cihaza bir arka kapı tehdidi bıraktığıdır. Arka kapı, WinCrypt API ile şifrelenmiş MicroBackdoor adlı açık kaynaklı bir aracın değiştirilmiş bir versiyonudur. Ek kötü amaçlı yazılım, tehdit aktörlerinin ihlal edilen makinedeki dosya sistemini manipüle etmesine, seçilen dosyaları yüklemesine, ek dosyalar veya yükler sağlamasına ve uzaktan kod yürütme (RCE) çalıştırmasına olanak tanır. Arka kapı kötü amaçlı yazılımına da kendisini kurbanın cihazından kaldırması talimatı verilebilir.