HelloXD is de naam van een relatief nieuwe ransomware-familie die sinds november dubbele afpersingsaanvallen uitvoert 2021.
De ransomware heeft meerdere varianten die van invloed zijn op zowel Windows als Linux-systemen. Wat onderscheidt HelloXD van andere, vergelijkbare ransomware-families is het feit dat het geen leksite heeft. Plaats, het leidt slachtoffers om om te onderhandelen via de Tox (een p2p instant messaging-protocol dat wordt gebruikt door andere ransomware, ook) chat en op uien gebaseerde boodschappers.
HelloXD Ransomware komt naar voren uit de broncode van Babuk
Volgens een analyse van Unit 42 onderzoekers, de ransomware-samples van HelloXD vertonen veel overeenkomsten met de kernfunctionaliteit van de gelekte Babuk ransomware's broncode. Babuk verscheen in januari 2021 als een nieuwe enterprise ransomware. De broncode werd in september van hetzelfde jaar gelekt naar een ondergronds forum.
Een andere opmerkelijke ontdekking die Unit 42 gemaakt is dat een van de monsters van HelloXD ook een achterdeur op het geïnfecteerde systeem liet vallen, MicroBackdoor. De laatste is een open-source achterdeur waarmee aanvallers door het bestandssysteem kunnen bladeren, bestanden uploaden en downloaden, en commando's uitvoeren. De achterdeur kan zichzelf ook uit het gecompromitteerde systeem verwijderen. De extra lading van de achterdeur is hoogstwaarschijnlijk gedaald met observatiedoeleinden – de dreigingsactoren volgen hoogstwaarschijnlijk de voortgang van de ransomware, terwijl het verkrijgen van extra voet aan de grond.
Hoe werkt de ransomware?? Het is opmerkelijk dat HelloXD een ID aanmaakt voor elk slachtoffer, die wordt verzonden naar de operators. De ID is nodig om het slachtoffer te identificeren en een decryptor te bieden. De losgeldbrief bevat instructies voor het downloaden van Tox en het gebruik van een Tox Chat-ID om de aanvaller te bereiken.
Wie zit er achter HelloXD? “Tijdens de analyse van het MicroBackdoor-monster, Eenheid 42 observeerde de configuratie en vond een ingebed IP-adres, die toebehoort aan een dreigingsactor waarvan we denken dat deze mogelijk de ontwikkelaar is: x4k, ook bekend als L4ckyguy, onbekend, unk0w, _unkn0wn en x4kme,”Aldus het rapport.
Na een zeer diepgaand onderzoek, de onderzoekers concludeerden dat de x4k-bedreigingsacteur Russisch is en behoorlijk populair op verschillende hackforums.
Een ander voorbeeld van een recentelijk opgekomen ransomware-familie is: Zwarte Basta, die schade heeft veroorzaakt aan ten minste tien organisaties.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: