HelloXD Ransomware vai para dupla extorsão

Uma equipe de pesquisa da Palo Alto Networks separou uma variedade de ransomware relativamente recente. O ransomware chama-se HelloXD e foi detectado pela primeira vez nos últimos meses de 2021.

HelloXD é o tipo de gangue de ransomware que tenta dupla extorsão, ameaçando vazar informações confidenciais roubadas da vítima se o resgate não for pago. No entanto, o HelloXD não usa uma única página da dark web de vazamento. Em vez disso, a gangue oferece negociações diretas com a vítima por meio de bate-papo criptografado do Tox.

Em sua análise, os pesquisadores de Palo Alto descobriram semelhanças na funcionalidade entre o HelloXD e o infame ransomware Babuk. Os ataques usando o HelloXD também empregaram uma ferramenta de backdoor chamada MicroBackdoor, que permite várias tarefas remotas no sistema comprometido e dá aos hackers a capacidade de observar o ransomware em ação.

Uma vez executado em um sistema de destino, o HelloXD tenta desabilitar as cópias do volume de sombra para garantir que a recuperação não seja possível.

Acredita-se que o autor do malware seja um hacker usando vários identificadores, incluindo "x4k" e "unKn0wn". O link foi estabelecido por meio de um endereço IP incorporado encontrado ao separar o backdoor usado em conjunto com o HelloXD.

Uma vez criptografados, os arquivos recebem a extensão ".hello", com a nota de resgate colocada dentro de "Hello.txt". Em sua forma original, a nota de resgate continha apenas um ID de bate-papo do Tox para entrar em contato com os fabricantes do ransomware.