Программа-вымогатель HelloXD идет на двойное вымогательство

Исследовательская группа из Palo Alto Networks выделила относительно недавний штамм программы-вымогателя. Программа-вымогатель называется HelloXD и впервые была обнаружена в последние месяцы 2021 года.

HelloXD — это тип банды вымогателей, которая пытается совершить двойное вымогательство, угрожая утечкой украденной конфиденциальной информации жертвы, если выкуп не будет уплачен. Однако HelloXD не использует ни одной утечки темной веб-страницы. Вместо этого банда предлагает прямые переговоры с жертвой через зашифрованный Tox-чат.

В своем анализе исследователи из Пало-Альто обнаружили сходство в функциональности между HelloXD и печально известным вымогателем Babuk. Атаки с использованием HelloXD также использовали бэкдор-инструмент под названием MicroBackdoor, который позволяет выполнять ряд удаленных задач в скомпрометированной системе и дает хакерам возможность наблюдать за работой программы-вымогателя.

После выполнения в целевой системе HelloXD пытается отключить теневые копии томов, чтобы гарантировать невозможность восстановления.

Автором вредоносной программы считается хакер, работающий под разными именами, в том числе «x4k» и «unKn0wn». Связь была установлена через встроенный IP-адрес, найденный при разборе бэкдора, используемого совместно с HelloXD.

После шифрования файлы получают расширение «.hello», а примечание о выкупе помещается внутрь «Hello.txt». В своей первоначальной форме записка с требованием выкупа содержала только идентификатор чата Tox для связи с создателями программы-вымогателя.