HelloXD ist der Name einer relativ neuen Ransomware-Familie, die seit November doppelte Erpressungsangriffe durchführt 2021.
Die Ransomware hat mehrere Varianten, die sich sowohl auf Windows als auch auf Windows auswirken Linux-Systeme. Was HelloXD von anderen unterscheidet, ähnlicher Ransomware-Familien ist die Tatsache, dass es keine Leak-Site gibt. Stattdessen, es leitet Opfer um, um über das Tox zu verhandeln (ein P2P-Instant-Messaging-Protokoll, das von anderer Ransomware verwendet wird, zu) Chat und zwiebelbasierte Messenger.
HelloXD Ransomware entsteht aus dem Quellcode von Babuk
Laut einer Analyse von Unit 42 Forscher, Die Ransomware-Beispiele von HelloXD haben viele Ähnlichkeiten mit der Kernfunktionalität des Quellcodes der durchgesickerten Babuk-Ransomware. Babuk tauchte im Januar auf 2021 als neue Unternehmens-Ransomware. Sein Quellcode wurde im September desselben Jahres an ein Untergrundforum geleakt.
Eine weitere bemerkenswerte Entdeckung dieser Einheit 42 gemacht ist, dass eines der Samples von HelloXD auch eine Hintertür auf dem infizierten System abgelegt hat, MicroBackdoor. Letzteres ist eine Open-Source-Hintertür, die es Angreifern ermöglicht, das Dateisystem zu durchsuchen, Dateien hochladen und herunterladen, und Ausführen von Befehlen. Die Hintertür ist auch in der Lage, sich selbst aus dem kompromittierten System zu entfernen. Die zusätzliche Backdoor-Nutzlast wird höchstwahrscheinlich zu Beobachtungszwecken gelöscht – Die Bedrohungsakteure überwachen höchstwahrscheinlich den Fortschritt der Ransomware, während Sie zusätzlich Fuß fassen.
Wie funktioniert die Ransomware?? Bemerkenswert ist, dass HelloXD für jedes Opfer eine ID erstellt, die an seine Betreiber gesendet wird. Die ID wird benötigt, um das Opfer zu identifizieren und einen Entschlüsseler bereitzustellen. Die Lösegeldforderung enthält Anweisungen zum Herunterladen von Tox und zum Verwenden einer Tox-Chat-ID, um den Angreifer zu erreichen.
Wer steckt hinter HelloXD? „Während der Analyse der MicroBackdoor-Probe, Einheit 42 beobachtete die Konfiguration und fand eine eingebettete IP-Adresse, die einem Bedrohungsakteur gehören, von dem wir glauben, dass er möglicherweise der Entwickler ist: x4k, auch bekannt als L4ckyguy, unbekannt, unk0w, _unkn0wn und x4kme,“So der Bericht.
Nach eine sehr gründliche Untersuchung, Die Forscher kamen zu dem Schluss, dass der x4k-Bedrohungsakteur russisch und in mehreren Hacking-Foren sehr beliebt ist.
Ein weiteres Beispiel für eine kürzlich aufgetauchte Ransomware-Familie ist Schwarze Basta, die mindestens zehn Organisationen Schaden zugefügt hat.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: