HelloXD Ransomware setzt auf doppelte Erpressung

Ein Forschungsteam von Palo Alto Networks hat einen relativ neuen Ransomware-Stamm herausgesucht. Die Ransomware heißt HelloXD und wurde erstmals in den letzten Monaten des Jahres 2021 entdeckt.

HelloXD ist die Art von Ransomware-Bande, die doppelte Erpressung versucht und damit droht, die gestohlenen sensiblen Informationen des Opfers preiszugeben, wenn das Lösegeld nicht bezahlt wird. HelloXD verwendet jedoch keine einzige undichte dunkle Webseite. Stattdessen bietet die Bande direkte Verhandlungen mit dem Opfer über verschlüsselten Tox-Chat an.

Bei ihrer Analyse entdeckten die Forscher von Palo Alto Ähnlichkeiten in der Funktionalität zwischen HelloXD und der berüchtigten Babuk-Ransomware. Angriffe mit HelloXD verwendeten auch ein Backdoor-Tool namens MicroBackdoor, das eine Reihe von Remote-Aufgaben auf dem kompromittierten System ermöglicht und den Hackern die Möglichkeit gibt, die Ransomware bei der Arbeit zu beobachten.

Nach der Ausführung auf einem Zielsystem versucht HelloXD, Kopien von Schattenvolumes zu deaktivieren, um sicherzustellen, dass eine Wiederherstellung nicht möglich ist.

Es wird angenommen, dass der Autor der Malware ein Hacker ist, der sich einer Reihe von Handles bedient, darunter „x4k“ und „unKn0wn“. Die Verbindung wurde über eine eingebettete IP-Adresse hergestellt, die beim Auseinandernehmen der in Verbindung mit HelloXD verwendeten Hintertür gefunden wurde.

Nach der Verschlüsselung erhalten die Dateien die Erweiterung „.hello“, wobei die Lösegeldforderung in „Hello.txt“ abgelegt wird. In ihrer ursprünglichen Form enthielt die Lösegeldforderung nur eine Tox-Chat-ID, um die Hersteller der Ransomware zu kontaktieren.