Το HelloXD Ransomware πηγαίνει για διπλό εκβιασμό

Μια ερευνητική ομάδα με το Palo Alto Networks έχει επιλέξει ένα σχετικά πρόσφατο στέλεχος ransomware. Το ransomware ονομάζεται HelloXD και εντοπίστηκε για πρώτη φορά τους τελευταίους μήνες του 2021.

Το HelloXD είναι ο τύπος συμμορίας ransomware που επιχειρεί διπλό εκβιασμό, απειλώντας να διαρρεύσει τις κλεμμένες ευαίσθητες πληροφορίες του θύματος εάν δεν πληρωθούν τα λύτρα. Ωστόσο, το HelloXD δεν χρησιμοποιεί ούτε μία σκοτεινή ιστοσελίδα με διαρροή. Αντίθετα, η συμμορία προσφέρει άμεσες διαπραγματεύσεις με το θύμα μέσω κρυπτογραφημένης συνομιλίας Tox.

Στην ανάλυσή τους, οι ερευνητές στο Palo Alto ανακάλυψαν ομοιότητες στη λειτουργικότητα μεταξύ του HelloXD και του περίφημου ransomware Babuk. Οι επιθέσεις που χρησιμοποιούν το HelloXD χρησιμοποιούσαν επίσης ένα εργαλείο backdoor που ονομάζεται MicroBackdoor, το οποίο επιτρέπει μια σειρά απομακρυσμένων εργασιών στο παραβιασμένο σύστημα και δίνει στους χάκερ τη δυνατότητα να παρατηρούν το ransomware στην εργασία.

Μόλις εκτελεστεί σε ένα σύστημα προορισμού, το HelloXD επιχειρεί να απενεργοποιήσει τα σκιώδη αντίγραφα τόμου για να βεβαιωθεί ότι δεν είναι δυνατή η ανάκτηση.

Ο συντάκτης του κακόβουλου λογισμικού πιστεύεται ότι είναι ένας χάκερ που κινείται με διάφορους τρόπους, όπως το "x4k" και το "unKn0wn". Ο σύνδεσμος δημιουργήθηκε μέσω μιας ενσωματωμένης διεύθυνσης IP που βρέθηκε κατά την επιλογή της κερκόπορτας που χρησιμοποιείται σε συνδυασμό με το HelloXD.

Μόλις κρυπτογραφηθούν, τα αρχεία λαμβάνουν την επέκταση ".hello", με τη σημείωση λύτρων να βρίσκεται στο "Hello.txt". Στην αρχική του μορφή, το σημείωμα λύτρων περιείχε μόνο ένα αναγνωριστικό συνομιλίας Tox για να επικοινωνήσει με τους κατασκευαστές του ransomware.