HelloXD Ransomware går til dobbelt afpresning

Et forskerhold med Palo Alto Networks har udvalgt en relativt ny ransomware-stamme. Ransomwaren hedder HelloXD og blev først opdaget i de sidste måneder af 2021.

HelloXD er den type ransomware-bande, der forsøger dobbelt afpresning og truer med at lække ofrets stjålne følsomme oplysninger, hvis løsesummen ikke betales. HelloXD bruger dog ikke en eneste lækage mørk webside. I stedet tilbyder banden direkte forhandlinger med offeret over krypteret Tox-chat.

I deres analyse opdagede forskerne hos Palo Alto ligheder i funktionalitet mellem HelloXD og den berygtede Babuk ransomware. Angreb ved hjælp af HelloXD brugte også et bagdørsværktøj kaldet MicroBackdoor, som giver mulighed for en række fjernopgaver på det kompromitterede system og giver hackerne mulighed for at observere ransomware på arbejde.

Når først den er udført på et målsystem, forsøger HelloXD at deaktivere skyggevolumenkopier for at sikre, at gendannelse ikke er mulig.

Malwarens forfatter menes at være en hacker, der går efter en række håndtag, inklusive "x4k" og "unKn0wn". Linket blev etableret gennem en indlejret IP-adresse, der blev fundet, når bagdøren blev adskilt i forbindelse med HelloXD.

Når filerne er krypteret, modtager de filtypenavnet ".hello", med løsesumsedlen faldet i "Hello.txt". I sin originale form indeholdt løsesumsedlen kun et Tox-chat-id til at kontakte ransomware-producenterne.