„HelloXD Ransomware“ siekia dvigubo turto prievartavimo

„Palo Alto Networks“ tyrimų grupė išskyrė palyginti neseniai išpirkos reikalaujančią programinę įrangą. Išpirkos reikalaujanti programa vadinama HelloXD ir pirmą kartą buvo pastebėta paskutiniais 2021 m.

HelloXD yra išpirkos reikalaujančių programų gauja, kuri bando dvigubai prievartauti, grasindama nutekinti aukos pavogtą slaptą informaciją, jei išpirka nebus sumokėta. Tačiau HelloXD nenaudoja vieno nutekėjusio tamsaus tinklalapio. Vietoj to, gauja siūlo tiesiogines derybas su auka per užšifruotą Tox pokalbį.

Atlikdami analizę, Palo Alto mokslininkai atrado HelloXD ir liūdnai pagarsėjusios Babuk išpirkos reikalaujančios programinės įrangos funkcionalumo panašumų. Atakoms naudojant HelloXD taip pat buvo naudojamas užpakalinių durų įrankis, vadinamas MicroBackdoor, kuris leidžia atlikti daugybę nuotolinių užduočių pažeistoje sistemoje ir suteikia įsilaužėliams galimybę stebėti išpirkos reikalaujančią programinę įrangą darbe.

Kai vykdoma tikslinėje sistemoje, HelloXD bando išjungti šešėlines kopijas, kad įsitikintų, jog atkūrimas neįmanomas.

Manoma, kad kenkėjiškos programos autorius yra įsilaužėlis, besinaudojantis įvairiomis rankenomis, įskaitant „x4k“ ir „unKn0wn“. Nuoroda buvo sukurta naudojant įterptąjį IP adresą, rastas atskiriant užpakalines duris, naudojamas kartu su HelloXD.

Užšifruoti failai gauna plėtinį „.hello“, o išpirkos kupiūra įdedama į „Hello.txt“. Pradinėje formoje išpirkos raštelyje buvo tik Tox pokalbio ID, kad būtų galima susisiekti su išpirkos programų kūrėjais.