HelloXD Ransomware går for dobbel utpressing

Et forskerteam med Palo Alto Networks har plukket fra hverandre en relativt ny ransomware-stamme. Løsepengevaren heter HelloXD og ble først oppdaget i de siste månedene av 2021.

HelloXD er den typen løsepengevaregjenger som forsøker dobbeltutpressing, og truer med å lekke offerets stjålne sensitive informasjon hvis løsepengene ikke betales. HelloXD bruker imidlertid ikke en eneste lekkasje mørk nettside. I stedet tilbyr gjengen direkte forhandlinger med offeret over kryptert Tox-chat.

I sin analyse oppdaget forskerne ved Palo Alto likheter i funksjonalitet mellom HelloXD og den beryktede Babuk løsepengevaren. Angrep ved bruk av HelloXD brukte også et bakdørverktøy kalt MicroBackdoor, som tillater en rekke eksterne oppgaver på det kompromitterte systemet og gir hackerne muligheten til å observere løsepengevaren på jobb.

Når den er utført på et målsystem, prøver HelloXD å deaktivere skyggevolumkopier for å sikre at gjenoppretting ikke er mulig.

Skadevarens forfatter antas å være en hacker som går etter en rekke håndtak, inkludert "x4k" og "unKn0wn". Koblingen ble opprettet gjennom en innebygd IP-adresse som ble funnet når bakdøren ble brukt i forbindelse med HelloXD.

Når de er kryptert, mottar filene ".hello"-utvidelsen, med løsepengeren falt i "Hello.txt". I sin opprinnelige form inneholdt løsepengenotatet bare en Tox-chat-ID for å kontakte produsentene av løsepenger.