HelloXD é o nome de uma família de ransomware relativamente nova que vem realizando ataques de extorsão dupla desde novembro 2021.
O ransomware tem várias variantes que afetam o Windows e Sistemas Linux. O que distingue o HelloXD de outros, famílias de ransomware semelhantes é o fato de não apresentar um site de vazamento. Em vez de, redireciona as vítimas para negociar através do Tox (um protocolo de mensagens instantâneas p2p usado por outro ransomware, também) bate-papo e mensageiros baseados em cebola.
HelloXD Ransomware emerge do código-fonte de Babuk
De acordo com uma análise da Unidade 42 pesquisadores, as amostras de ransomware do HelloXD compartilham muitas semelhanças com a funcionalidade principal do código-fonte do ransomware Babuk vazado. Babuk surgiu em janeiro 2021 como um novo ransomware empresarial. Seu código-fonte vazou para um fórum clandestino em setembro do mesmo ano.
Outra descoberta notável que a Unidade 42 feito é que uma das amostras do HelloXD também lançou um backdoor no sistema infectado, MicroBackdoor. O último é um backdoor de código aberto que permite que invasores naveguem no sistema de arquivos, upload e download de arquivos, e executar comandos. O backdoor também é capaz de se remover do sistema comprometido. A carga útil adicional de backdoor é provavelmente descartada com propósitos de observação – os agentes de ameaças provavelmente estão monitorando o progresso do ransomware, enquanto ganha apoio adicional.
Como funciona o ransomware? Vale ressaltar que o HelloXD cria um ID para cada vítima, que é enviado aos seus operadores. O ID é necessário para identificar a vítima e fornecer um decodificador. A nota de resgate apresenta instruções sobre como baixar o Tox e usar um ID de bate-papo do Tox para alcançar o invasor.
Quem está por trás do HelloXD? “Durante a análise da amostra MicroBackdoor, Unidade 42 observou a configuração e encontrou um endereço IP incorporado, pertencer a um agente de ameaça que acreditamos ser potencialmente o desenvolvedor: x4k, também conhecido como L4ckyguy, desconhecido, unk0w, _unkn0wn e x4kme,”Disse o relatório.
Depois de uma investigação muito profunda, os pesquisadores concluíram que o ator da ameaça x4k é russo e bastante popular em vários fóruns de hackers.
Outro exemplo de uma família de ransomware que surgiu recentemente é Basta Preta, que causou danos a pelo menos dez organizações.