HelloXD est le nom d'une famille de rançongiciels relativement nouvelle qui mène des doubles attaques d'extorsion depuis novembre 2021.
Le rançongiciel a plusieurs variantes qui affectent à la fois Windows et les systèmes Linux. Ce qui distingue HelloXD des autres, familles de rançongiciels similaires est le fait qu'il ne comporte pas de site de fuite. Plutôt, il redirige les victimes pour négocier via la Tox (un protocole de messagerie instantanée p2p utilisé par d'autres rançongiciels, trop) chat et messagers basés sur l'oignon.
HelloXD Ransomware émerge du code source de Babuk
Selon une analyse de l'Unité 42 des chercheurs, les échantillons de ransomware de HelloXD partagent de nombreuses similitudes avec la fonctionnalité de base du code source du ransomware Babuk divulgué. Babuk est apparu en janvier 2021 en tant que nouveau rançongiciel d'entreprise. Son code source a été divulgué sur un forum clandestin en septembre de la même année.
Une autre découverte notable que l'unité 42 fait est que l'un des échantillons de HelloXD a également laissé tomber une porte dérobée sur le système infecté, Micro porte dérobée. Ce dernier est une porte dérobée open source qui permet aux attaquants de parcourir le système de fichiers, charger et télécharger des fichiers, et exécuter des commandes. La porte dérobée est également capable de se retirer du système compromis. La charge utile supplémentaire de la porte dérobée est très probablement abandonnée à des fins d'observation – les acteurs de la menace surveillent très probablement la progression du ransomware, tout en prenant pied.
Comment fonctionne le rançongiciel? Il est à noter que HelloXD crée un identifiant pour chaque victime, qui est envoyé à ses opérateurs. L'ID est nécessaire pour identifier la victime et fournir un décrypteur. La note de rançon contient des instructions sur le téléchargement de Tox et l'utilisation d'un identifiant Tox Chat pour atteindre l'attaquant..
Qui est derrière HelloXD? "Lors de l'analyse de l'échantillon MicroBackdoor, Unité 42 observé la configuration et trouvé une adresse IP intégrée, appartenant à un acteur malveillant dont nous pensons qu'il est potentiellement le développeur: x4k, également connu sous le nom de L4ckyguy, inconnu, unk0w, _unkn0wn et x4kme,» Le rapport.
Après une enquête très approfondie, les chercheurs ont conclu que l'acteur de la menace x4k est russe et très populaire sur plusieurs forums de piratage.
Un autre exemple d'une famille de rançongiciels récemment apparue est Basta noir, qui a causé des dommages à au moins dix organisations.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: