HelloXD er navnet på en relativt ny ransomware-familie, som har udført dobbelte afpresningsangreb siden november 2021.
Ransomwaren har flere varianter, der påvirker både Windows og Linux-systemer. Hvad adskiller HelloXD fra andre, lignende ransomware-familier er det faktum, at det ikke har et lækagested. I stedet, det omdirigerer ofre til at forhandle via Tox (en p2p-instant messaging-protokol, der bruges af anden ransomware, for) chat og løgbaserede budbringere.
HelloXD Ransomware kommer fra Babuks kildekode
Ifølge en analyse fra Unit 42 forskere, ransomware-prøverne af HelloXD deler mange ligheder med kernefunktionaliteten af den lækkede Babuk ransomwares kildekode. Babuk dukkede op i januar 2021 som en ny virksomheds ransomware. Dens kildekode blev lækket til et underjordisk forum i september samme år.
En anden bemærkelsesværdig opdagelse, at Unit 42 lavet er, at en af HelloXDs prøver også tabte en bagdør på det inficerede system, MicroBackdoor. Sidstnævnte er en open source-bagdør, der gør det muligt for angribere at gennemse filsystemet, uploade og downloade filer, og udføre kommandoer. Bagdøren er også i stand til at fjerne sig selv fra det kompromitterede system. Den ekstra bagdørs nyttelast er højst sandsynligt droppet med observationsformål – trusselsaktørerne overvåger højst sandsynligt ransomwarens fremskridt, samtidig med at få yderligere fodfæste.
Hvordan fungerer ransomware? Det er bemærkelsesværdigt, at HelloXD opretter et ID for hvert offer, som sendes til dets operatører. ID'et er nødvendigt for at identificere offeret og give en dekryptering. Løsesedlen indeholder instruktioner om at downloade Tox og bruge et Tox Chat ID til at nå angriberen.
Hvem står bag HelloXD? "Under analysen af MicroBackdoor-prøven, Enhed 42 observerede konfigurationen og fandt en integreret IP-adresse, tilhører en trusselsaktør, som vi mener er potentielt udvikleren: x4k, også kendt som L4ckyguy, ukendt, unk0w, _unkn0wn og x4kme,”Hedder det i rapporten.
Efter en meget dybtgående undersøgelse, forskerne konkluderede, at x4k-trusselsaktøren er russisk og ret populær på flere hackingfora.
Et andet eksempel på en nyligt opstået ransomware-familie er Sort Basta, som har forårsaget skader på mindst ti organisationer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: