HelloXD Ransomware

Le HelloXD Ransomware est une menace malveillante puissante, les cybercriminels l'utilisant dans des attaques contre les systèmes Windows et Linux. Le malware a attiré l'attention des chercheurs en cybersécurité pour la première fois en novembre 2021 et, depuis lors, il n'a cessé d'évoluer. Certains des changements les plus importants apportés par les auteurs de la menace ont été détaillés dans un rapport de l'unité 42 de Palo Alto Network.

Selon les chercheurs, HelloXD est basé sur le code source divulgué d'une autre menace de ransomware nommée Babuk / Babyk . Les échantillons initiaux utilisaient une combinaison de Curve25519-Donna et d'un HC-128 modifié dans le cadre de son processus de cryptage. Cependant, les versions ultérieures ont échangé HC-128 contre le chiffrement symétrique Rabbit plus rapide. HelloXD génère un identifiant spécifique pour chaque système infecté que les victimes sont censées envoyer aux attaquants pour recevoir les bonnes clés de déchiffrement.

Bien sûr, les opérateurs de la menace ne sont disposés à fournir une assistance à leurs victimes qu'après avoir reçu une lourde rançon. En fait, pour s'assurer que leurs demandes seront satisfaites, les pirates lancent un système de double extorsion. En pratique, cela signifie que les données des appareils piratés sont exfiltrées vers un serveur distant avant que la routine de chiffrement ne soit engagée. Contrairement à d'autres organisations cybercriminelles, les opérateurs de HelloXD Ransomware ne maintiennent pas de site dédié aux fuites. Au lieu de cela, ils demandent aux organisations concernées d'établir une communication via Tox Chat, un client de chat peer-to-peer. Les pirates pourraient s'éloigner de ce comportement - certaines des notes de rançon les plus récentes déposées par HelloXD contiennent un lien vers un site Web encore inactif hébergé sur le réseau Onion.

L'une des découvertes les plus étranges faites par les chercheurs de l'Unité 42 est qu'un échantillon de HelloXD a lancé une menace de porte dérobée sur l'appareil infecté. La porte dérobée est une version modifiée d'un outil open source appelé MicroBackdoor qui a été chiffré avec l'API WinCrypt. Le logiciel malveillant supplémentaire permet aux acteurs de la menace de manipuler le système de fichiers sur la machine piratée, de télécharger les fichiers choisis, de fournir des fichiers ou des charges utiles supplémentaires et d'exécuter l'exécution de code à distance (RCE). Le logiciel malveillant de porte dérobée peut également recevoir l'instruction de se supprimer de l'appareil de la victime.