HelloXDランサムウェアが2倍の恐喝に

パロアルトネットワークスの研究チームは、比較的最近のランサムウェア株を選び出しました。ランサムウェアはHelloXDと呼ばれ、2021年の最後の数か月に最初に発見されました。

HelloXDは、身代金が支払われない場合に被害者の盗まれた機密情報を漏洩すると脅迫して、二重の恐喝を試みるランサムウェアギャングの一種です。ただし、HelloXDは単一のリークダークウェブページを使用しません。代わりに、ギャングは暗号化されたToxチャットを介して被害者と直接交渉します。

彼らの分析では、Palo Altoの研究者は、HelloXDと悪名高いBabukランサムウェアの機能に類似点があることを発見しました。 HelloXDを使用した攻撃では、MicroBackdoorと呼ばれるバックドアツールも使用されました。これにより、侵入先のシステムで多数のリモートタスクが可能になり、ハッカーは作業中のランサムウェアを監視できるようになります。

ターゲットシステムで実行されると、HelloXDはシャドウボリュームコピーを無効にして、回復が不可能であることを確認しようとします。

マルウェアの作成者は、「x4k」や「unKn0wn」など、さまざまなハンドルを使用するハッカーであると考えられています。リンクは、HelloXDと組み合わせて使用されるバックドアを分解するときに見つかった埋め込みIPアドレスを介して確立されました。

暗号化されると、ファイルは「.hello」拡張子を受け取り、身代金メモは「Hello.txt」内にドロップされます。元の形式では、ランサムノートにはランサムウェアのメーカーに連絡するためのToxチャットIDのみが含まれていました。