HelloXD Ransomware punta alla doppia estorsione

Un team di ricerca con Palo Alto Networks ha selezionato un ceppo di ransomware relativamente recente. Il ransomware si chiama HelloXD ed è stato individuato per la prima volta negli ultimi mesi del 2021.

HelloXD è il tipo di banda di ransomware che tenta una doppia estorsione, minacciando di far trapelare le informazioni sensibili rubate della vittima se il riscatto non viene pagato. Tuttavia, HelloXD non utilizza una singola pagina web oscura di leak. Invece, la banda offre trattative dirette con la vittima tramite la chat crittografata di Tox.

Nella loro analisi, i ricercatori di Palo Alto hanno scoperto somiglianze nella funzionalità tra HelloXD e il famigerato ransomware Babuk. Gli attacchi che utilizzano HelloXD hanno anche impiegato uno strumento backdoor chiamato MicroBackdoor, che consente una serie di attività remote sul sistema compromesso e offre agli hacker la possibilità di osservare il ransomware al lavoro.

Una volta eseguito su un sistema di destinazione, HelloXD tenta di disabilitare le copie del volume shadow per assicurarsi che il ripristino non sia possibile.

Si ritiene che l'autore del malware sia un hacker che utilizza una serie di handle, tra cui "x4k" e "unKn0wn". Il collegamento è stato stabilito tramite un indirizzo IP incorporato trovato durante la selezione della backdoor utilizzata insieme a HelloXD.

Una volta crittografati, i file ricevono l'estensione ".hello", con la richiesta di riscatto inserita all'interno di "Hello.txt". Nella sua forma originale, la richiesta di riscatto conteneva solo un ID chat Tox per contattare i creatori del ransomware.