HelloXD ransomware

HelloXD Ransomware es una potente amenaza de malware, y los ciberdelincuentes lo utilizan en ataques contra sistemas Windows y Linux. El malware llamó por primera vez la atención de los investigadores de ciberseguridad en noviembre de 2021 y, desde entonces, ha evolucionado continuamente. Algunos de los cambios más significativos realizados por los autores de la amenaza se detallaron en un informe de la Unidad 42 de Palo Alto Network.

Según los investigadores, HelloXD se basa en el código fuente filtrado de otra amenaza de ransomware llamada Babuk / Babyk . Las muestras iniciales utilizaron una combinación de Curve25519-Donna y un HC-128 modificado como parte de su proceso de cifrado. Sin embargo, versiones posteriores cambiaron HC-128 por el cifrado simétrico Rabbit más rápido. HelloXD genera una identificación específica para cada sistema infectado que se supone que las víctimas deben enviar a los atacantes para recibir las claves de descifrado correctas.

Por supuesto, los operadores de la amenaza solo están dispuestos a brindar asistencia a sus víctimas después de que se les pague un rescate considerable. De hecho, para garantizar que se cumplan sus demandas, los piratas informáticos ejecutan un esquema de doble extorsión. En la práctica, esto significa que los datos de los dispositivos violados se filtran a un servidor remoto antes de que se active la rutina de cifrado. A diferencia de otras organizaciones ciberdelincuentes, los operadores de HelloXD Ransomware no mantienen un sitio de fugas dedicado. En cambio, instruyen a las organizaciones afectadas para que establezcan comunicación a través de Tox Chat, un cliente de chat entre pares. Los piratas informáticos podrían estar alejándose de este comportamiento: algunas de las notas de rescate más recientes lanzadas por HelloXD contienen un enlace a un sitio web aún inactivo alojado en la red Onion.

Uno de los descubrimientos más peculiares realizados por los investigadores de la Unidad 42 es que una muestra de HelloXD lanzó una amenaza de puerta trasera en el dispositivo infectado. La puerta trasera es una versión modificada de una herramienta de código abierto llamada MicroBackdoor que se ha cifrado con la API de WinCrypt. El malware adicional permite a los actores de amenazas manipular el sistema de archivos en la máquina violada, cargar archivos elegidos, entregar archivos adicionales o cargas útiles y ejecutar ejecución remota de código (RCE). También se puede indicar al malware de puerta trasera que se elimine del dispositivo de la víctima.