HelloXD Ransomware
HelloXD 勒索软件是一种强大的恶意软件威胁,网络犯罪分子使用它来攻击 Windows 和 Linux 系统。该恶意软件于 2021 年 11 月首次引起网络安全研究人员的注意,从那时起,它一直在不断发展。 Palo Alto Network 的 Unit 42 的一份报告详细介绍了威胁作者所做的一些更重大的变化。
据研究人员称,HelloXD 是基于另一个名为Babuk / Babyk的勒索软件威胁的泄露源代码。初始样本使用 Curve25519-Donna 和修改后的 HC-128 的组合作为其加密过程的一部分。然而,后来的版本将 HC-128 换成了更快的 Rabbit 对称密码。 HelloXD 为每个受感染的系统生成一个特定的 ID,受害者应该将其发送给攻击者以接收正确的解密密钥。
当然,威胁的运营者只有在获得巨额赎金后才愿意为受害者提供帮助。事实上,为了确保满足他们的要求,黑客实施了双重勒索计划。在实践中,这意味着在使用加密例程之前,被破坏设备的数据被泄露到远程服务器。与其他网络犯罪组织不同,HelloXD 勒索软件的运营商不维护专门的泄漏站点。相反,他们指示受影响的组织通过点对点聊天客户端 Tox Chat 建立通信。黑客可能正在远离这种行为——HelloXD 发布的一些最近的赎金记录包含一个指向 Onion 网络上托管的尚未激活的网站的链接。
Unit 42 研究人员发现的一个更奇特的发现是,一个 HelloXD 样本在受感染的设备上释放了后门威胁。后门是一个名为 MicroBackdoor 的开源工具的修改版本,已使用 WinCrypt API 进行加密。额外的恶意软件允许威胁参与者操纵被破坏机器上的文件系统、上传选定的文件、传递额外的文件或有效负载,以及运行远程代码执行 (RCE)。后门恶意软件也可以被指示从受害者的设备中删除。
