HelloXD es el nombre de una familia de ransomware relativamente nueva que lleva a cabo ataques de doble extorsión desde noviembre. 2021.
El ransomware tiene múltiples variantes que afectan tanto a Windows como a sistemas Linux. Lo que distingue a HelloXD de otros, familias de ransomware similares es el hecho de que no presenta un sitio de fuga. En lugar, redirige a las víctimas a negociar a través de Tox (un protocolo de mensajería instantánea p2p utilizado por otro ransomware, demasiado) chat y mensajeros basados en cebolla.
El ransomware HelloXD emerge del código fuente de Babuk
Según un análisis de la Unidad 42 investigadores, las muestras de ransomware de HelloXD comparten muchas similitudes con la funcionalidad central del código fuente del ransomware Babuk filtrado. Babuk surgió en enero 2021 como un nuevo ransomware empresarial. Su código fuente se filtró a un foro clandestino en septiembre del mismo año..
Otro descubrimiento notable que Unit 42 hecho es que una de las muestras de HelloXD también dejó caer una puerta trasera en el sistema infectado, micropuerta trasera. Este último es una puerta trasera de código abierto que permite a los atacantes navegar por el sistema de archivos., cargar y descargar archivos, y ejecutar comandos. La puerta trasera también es capaz de eliminarse del sistema comprometido.. Lo más probable es que la carga útil adicional de la puerta trasera se elimine con fines de observación. – lo más probable es que los actores de amenazas estén monitoreando el progreso del ransomware, mientras gana un punto de apoyo adicional.
¿Cómo funciona el ransomware?? Cabe destacar que HelloXD crea una identificación para cada víctima, que se envía a sus operadores. Se necesita la identificación para identificar a la víctima y proporcionar un descifrador. La nota de rescate incluye instrucciones sobre cómo descargar Tox y usar una identificación de Tox Chat para comunicarse con el atacante..
Quien esta detras de HelloXD? “Durante el análisis de la muestra de MicroBackdoor, Unidad 42 observó la configuración y encontró una dirección IP incrustada, perteneciente a un actor de amenazas que creemos que es potencialmente el desarrollador: x4k, también conocido como L4ckyguy, desconocido, desconocido, _unkn0wn y x4kme,”Según el informe.
Después una investigacion muy profunda, los investigadores concluyeron que el actor de amenazas x4k es ruso y bastante popular en varios foros de piratería.
Otro ejemplo de una familia de ransomware recientemente surgida es basta negra, que ha causado perjuicios a al menos diez organizaciones.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: