El ransomware HelloXD apuesta por la doble extorsión

Un equipo de investigación de Palo Alto Networks ha seleccionado una cepa de ransomware relativamente reciente. El ransomware se llama HelloXD y se detectó por primera vez en los últimos meses de 2021.

HelloXD es el tipo de pandilla de ransomware que intenta una doble extorsión, amenazando con filtrar la información confidencial robada de la víctima si no se paga el rescate. Sin embargo, HelloXD no usa una sola página web oscura de fugas. En cambio, la pandilla ofrece negociaciones directas con la víctima a través del chat Tox encriptado.

En su análisis, los investigadores de Palo Alto descubrieron similitudes en la funcionalidad entre HelloXD y el infame ransomware Babuk. Los ataques con HelloXD también emplearon una herramienta de puerta trasera llamada MicroBackdoor, que permite una serie de tareas remotas en el sistema comprometido y brinda a los piratas informáticos la capacidad de observar el ransomware en acción.

Una vez ejecutado en un sistema de destino, HelloXD intenta deshabilitar las instantáneas de volumen para asegurarse de que la recuperación no sea posible.

Se cree que el autor del malware es un pirata informático que utiliza varios identificadores, incluidos "x4k" y "unKn0wn". El enlace se estableció a través de una dirección IP incrustada que se encontró al desmontar la puerta trasera utilizada junto con HelloXD.

Una vez cifrados, los archivos reciben la extensión ".hello", con la nota de rescate dentro de "Hello.txt". En su forma original, la nota de rescate solo contenía una identificación de chat de Tox para contactar a los creadores del ransomware.