HelloXD Ransomware idzie na podwójne wyłudzenie

Zespół badawczy z Palo Alto Networks wyodrębnił stosunkowo niedawną odmianę oprogramowania ransomware. Ransomware nazywa się HelloXD i po raz pierwszy zostało zauważone w ostatnich miesiącach 2021 roku.

HelloXD to rodzaj gangu ransomware, który próbuje podwójnego wymuszenia, grożąc ujawnieniem skradzionych poufnych informacji ofiary, jeśli okup nie zostanie zapłacony. Jednak HelloXD nie używa ani jednej ciemnej strony internetowej, która przecieka. Zamiast tego gang oferuje bezpośrednie negocjacje z ofiarą na zaszyfrowanym czacie Tox.

W swojej analizie naukowcy z Palo Alto odkryli podobieństwa w funkcjonalności między HelloXD a niesławnym ransomware Babuk. Ataki z wykorzystaniem HelloXD wykorzystywały również narzędzie typu backdoor o nazwie MicroBackdoor, które umożliwia wykonywanie wielu zdalnych zadań na zaatakowanym systemie i daje hakerom możliwość obserwowania działania oprogramowania ransomware.

Po uruchomieniu w systemie docelowym HelloXD próbuje wyłączyć kopie woluminów w tle, aby upewnić się, że odzyskiwanie nie jest możliwe.

Uważa się, że autor złośliwego oprogramowania jest hakerem korzystającym z wielu chwytów, w tym „x4k” i „unKn0wn”. Łącze zostało ustanowione za pomocą wbudowanego adresu IP, który został znaleziony podczas oddzielenia backdoora używanego w połączeniu z HelloXD.

Po zaszyfrowaniu pliki otrzymują rozszerzenie „.hello”, z żądaniem okupu umieszczonym w „Hello.txt”. W swojej pierwotnej formie notatka z żądaniem okupu zawierała jedynie identyfikator czatu Tox, który umożliwiał skontaktowanie się z twórcami oprogramowania ransomware.