HelloXD è il nome di una famiglia di ransomware relativamente nuova che da novembre effettua attacchi di doppia estorsione 2021.
Il ransomware ha più varianti che hanno un impatto sia su Windows che sistemi Linux. Ciò che distingue HelloXD dagli altri, famiglie di ransomware simili sono dovute al fatto che non presenta un sito di perdite. Invece, reindirizza le vittime a negoziare tramite il Tox (un protocollo di messaggistica istantanea p2p utilizzato da altri ransomware, troppo) chat e messenger a base di cipolle.
HelloXD Ransomware emerge dal codice sorgente di Babuk
Secondo un'analisi dell'Unità 42 ricercatori, i campioni di ransomware di HelloXD condividono molte somiglianze con le funzionalità principali del codice sorgente del ransomware Babuk trapelato. Babuk è emerso a gennaio 2021 come un nuovo ransomware aziendale. Il suo codice sorgente è trapelato in un forum sotterraneo nel settembre dello stesso anno.
Un'altra scoperta notevole che l'Unità 42 fatto è che uno dei campioni di HelloXD ha anche rilasciato una backdoor sul sistema infetto, Microporta sul retro. Quest'ultima è una backdoor open source che consente agli aggressori di esplorare il file system, caricare e scaricare file, ed eseguire i comandi. La backdoor è anche in grado di rimuoversi dal sistema compromesso. Il carico utile aggiuntivo della backdoor è molto probabilmente abbandonato a fini di osservazione – molto probabilmente gli attori delle minacce stanno monitorando l'avanzamento del ransomware, guadagnando un ulteriore punto d'appoggio.
Come funziona il ransomware? È interessante notare che HelloXD crea un ID per ogni vittima, che viene inviato ai suoi operatori. L'ID è necessario per identificare la vittima e fornire un decryptor. La richiesta di riscatto contiene istruzioni su come scaricare Tox e utilizzare un Tox Chat ID per raggiungere l'attaccante.
Chi c'è dietro HelloXD? “Durante l'analisi del campione MicroBackdoor, Unità 42 osservato la configurazione e trovato un indirizzo IP incorporato, appartenente a un attore di minacce che riteniamo sia potenzialmente lo sviluppatore: x4k, noto anche come L4ckyguy, sconosciuto, unk0w, _unkn0wn e x4kme,”Dice il rapporto.
Dopo un'indagine molto approfondita, i ricercatori hanno concluso che l'attore della minaccia x4k è russo e piuttosto popolare su diversi forum di hacking.
Un altro esempio di una famiglia di ransomware emersa di recente è Nero Basta, che ha causato danni ad almeno dieci organizzazioni.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: