A HelloXD Ransomware kettős zsarolást tesz lehetővé

A Palo Alto Networks kutatócsoportja egy viszonylag friss ransomware törzset választott ki. A zsarolóprogramot HelloXD-nek hívják, és először 2021 utolsó hónapjaiban észlelték.

A HelloXD az a ransomware-banda, amely kettős zsarolást kísérel meg, azzal fenyegetve, hogy kiszivárogtatja az áldozat ellopott érzékeny információit, ha nem fizetik ki a váltságdíjat. A HelloXD azonban nem használ egyetlen kiszivárgott sötét weboldalt sem. Ehelyett a banda közvetlen tárgyalásokat kínál az áldozattal titkosított Tox chaten.

Elemzésük során a Palo Alto kutatói hasonlóságokat fedeztek fel a HelloXD és a hírhedt Babuk ransomware funkciói között. A HelloXD-t használó támadások során a MicroBackdoor nevű backdoor eszközt is alkalmazták, amely számos távoli feladat elvégzését teszi lehetővé a feltört rendszeren, és lehetővé teszi a hackerek számára, hogy megfigyeljék a ransomware-t munka közben.

Miután végrehajtották a célrendszeren, a HelloXD megpróbálja letiltani az árnyékkötetes másolatokat, hogy megbizonyosodjon arról, hogy a helyreállítás nem lehetséges.

A rosszindulatú program szerzője feltehetően egy hacker, aki számos fogást megtesz, köztük az "x4k" és az "unKn0wn" kifejezéseket. A kapcsolat egy beágyazott IP-címen keresztül jött létre, amelyet a HelloXD-vel együtt használt hátsó ajtó szétválasztásakor találtak.

A titkosítást követően a fájlok a „.hello” kiterjesztést kapják, a váltságdíjjal pedig a „Hello.txt” fájlba kerül. Eredeti formájában a váltságdíj feljegyzése csak egy Tox chat-azonosítót tartalmazott, amellyel kapcsolatba lehetett lépni a ransomware készítőivel.