HelloXD Ransomware
HelloXD 勒索軟件是一種強大的惡意軟件威脅,網絡犯罪分子使用它來攻擊 Windows 和 Linux 系統。該惡意軟件於 2021 年 11 月首次引起網絡安全研究人員的注意,從那時起,它一直在不斷發展。 Palo Alto Network 的 Unit 42 的一份報告詳細介紹了威脅作者所做的一些更重大的變化。
據研究人員稱,HelloXD 是基於另一個名為Babuk / Babyk的勒索軟件威脅的洩露源代碼。初始樣本使用 Curve25519-Donna 和修改後的 HC-128 的組合作為其加密過程的一部分。然而,後來的版本將 HC-128 換成了更快的 Rabbit 對稱密碼。 HelloXD 為每個受感染的系統生成一個特定的 ID,受害者應該將其發送給攻擊者以接收正確的解密密鑰。
當然,威脅的運營者只有在獲得巨額贖金後才願意為受害者提供幫助。事實上,為了確保滿足他們的要求,黑客實施了雙重勒索計劃。在實踐中,這意味著在使用加密例程之前,被破壞設備的數據被洩露到遠程服務器。與其他網絡犯罪組織不同,HelloXD 勒索軟件的運營商不維護專門的洩漏站點。相反,他們指示受影響的組織通過點對點聊天客戶端 Tox Chat 建立通信。黑客可能正在遠離這種行為——HelloXD 發布的一些最近的贖金記錄包含一個指向 Onion 網絡上託管的尚未激活的網站的鏈接。
Unit 42 研究人員發現的一個比較奇特的發現是,一個 HelloXD 樣本在受感染的設備上釋放了後門威脅。後門是一個名為 MicroBackdoor 的開源工具的修改版本,已使用 WinCrypt API 進行加密。額外的惡意軟件允許威脅參與者操縱被破壞機器上的文件系統、上傳選定的文件、傳遞額外的文件或有效負載,以及運行遠程代碼執行 (RCE)。後門惡意軟件也可以被指示從受害者的設備中刪除自己。
