HelloXD Ransomware går för dubbel utpressning

Ett forskarteam med Palo Alto Networks har plockat isär en relativt ny ransomware-stam. Ransomwaren heter HelloXD och upptäcktes först under de sista månaderna av 2021.

HelloXD är den typen av ransomware-gäng som försöker dubbel utpressning, hotar att läcka offrets stulna känsliga information om lösensumman inte betalas. HelloXD använder dock inte en enda läckande mörk webbsida. Istället erbjuder gänget direkta förhandlingar med offret över krypterad Tox-chatt.

I sin analys upptäckte forskarna vid Palo Alto likheter i funktionalitet mellan HelloXD och den ökända Babuk ransomware. Attacker med HelloXD använde också ett bakdörrsverktyg som heter MicroBackdoor, som möjliggör ett antal fjärruppgifter på det komprometterade systemet och ger hackarna möjlighet att observera ransomware på jobbet.

När den väl har körts på ett målsystem, försöker HelloXD inaktivera skuggvolymkopior för att säkerställa att återställning inte är möjlig.

Skadlig programvaras upphovsman tros vara en hackare som använder ett antal handtag, inklusive "x4k" och "unKn0wn". Länken upprättades genom en inbäddad IP-adress som hittades när man plockade isär bakdörren som användes i samband med HelloXD.

När de väl är krypterade får filer tillägget ".hello", med lösennotan nedlagd i "Hello.txt". I sin ursprungliga form innehöll lösensumman bara ett Tox-chatt-ID för att kontakta lösensumvarans tillverkare.