HelloXD Ransomware opte pour la double extorsion

Une équipe de recherche de Palo Alto Networks a identifié une souche de ransomware relativement récente. Le rançongiciel s'appelle HelloXD et a été repéré pour la première fois au cours des derniers mois de 2021.

HelloXD est le type de gang de rançongiciels qui tente une double extorsion, menaçant de divulguer les informations sensibles volées de la victime si la rançon n'est pas payée. Cependant, HelloXD n'utilise pas une seule page Web sombre de fuite. Au lieu de cela, le gang propose des négociations directes avec la victime via un chat Tox crypté.

Dans leur analyse, les chercheurs de Palo Alto ont découvert des similitudes de fonctionnalité entre HelloXD et le tristement célèbre rançongiciel Babuk. Les attaques utilisant HelloXD ont également utilisé un outil de porte dérobée appelé MicroBackdoor, qui permet un certain nombre de tâches à distance sur le système compromis et donne aux pirates la possibilité d'observer le ransomware au travail.

Une fois exécuté sur un système cible, HelloXD tente de désactiver les clichés instantanés de volume pour s'assurer que la récupération n'est pas possible.

On pense que l'auteur du logiciel malveillant est un pirate utilisant un certain nombre de pseudonymes, notamment "x4k" et "unKn0wn". Le lien a été établi via une adresse IP intégrée trouvée lors de la séparation de la porte dérobée utilisée conjointement avec HelloXD.

Une fois cryptés, les fichiers reçoivent l'extension ".hello", avec la note de rançon déposée dans "Hello.txt". Dans sa forme originale, la note de rançon ne contenait qu'un ID de chat Tox pour contacter les créateurs du rançongiciel.