HelloXD Ransomware

HelloXD Ransomware є потужною загрозою шкідливого програмного забезпечення, і кіберзлочинці використовують його для атак на системи Windows і Linux. Зловмисне програмне забезпечення вперше привернуло увагу дослідників кібербезпеки ще в листопаді 2021 року, і з тих пір воно постійно розвивається. Деякі з найбільш значущих змін, внесених авторами загрози, були детально описані у звіті 42-го відділу мережі Пало-Альто.

За словами дослідників, HelloXD заснований на витоку вихідного коду іншої загрози-вимагача під назвою Babuk / Babyk . Початкові зразки використовували комбінацію Curve25519-Donna і модифікованого HC-128 як частину процесу шифрування. Однак пізніші версії замінили HC-128 на швидший симетричний шифр Кролика. HelloXD генерує певний ідентифікатор для кожної зараженої системи, який жертви повинні надіслати зловмисникам, щоб отримати правильні ключі дешифрування.

Звісно, оператори загрози готові надавати допомогу своїм жертвам лише після того, як їм заплатили чималий викуп. Фактично, щоб гарантувати, що їхні вимоги будуть задоволені, хакери використовують схему подвійного вимагання. На практиці це означає, що дані зламаних пристроїв ексфільтруються на віддалений сервер до того, як буде задіяна процедура шифрування. На відміну від інших кіберзлочинних організацій, оператори HelloXD Ransomware не мають спеціального сайту для витоку. Замість цього вони доручають організаціям, які постраждали, встановити комунікацію через Tox Chat, клієнт однорангового чату. Хакери можуть відійти від такої поведінки - деякі з останніх нотаток про викуп, випущених HelloXD, містять посилання на ще неактивний веб-сайт, розміщений у мережі Onion.

Одним з найбільш незвичайних відкриттів, зроблених дослідниками Unit 42, є те, що один зразок HelloXD виявив загрозу бекдору на інфікований пристрій. Бекдор — це модифікована версія інструмента з відкритим вихідним кодом під назвою MicroBackdoor, який був зашифрований за допомогою WinCrypt API. Додаткове зловмисне програмне забезпечення дозволяє загрозам маніпулювати файловою системою на зламаній машині, завантажувати вибрані файли, доставляти додаткові файли або корисні дані та запускати віддалене виконання коду (RCE). Зловмисному програмному забезпеченню бекдора також можна наказати видалити себе з пристрою жертви.