Dzięki nowym technikom zaciemniania i możliwościom ataków ransomware Hello XD (otwiera się w nowej karcie) jest teraz bardziej niebezpieczne niż kiedykolwiek, jak odkrył Unit 42, ramię cyberbezpieczeństwa Palo Alto Networks.

Grupa odkryła, że ​​Hello XD oferuje teraz nowy program szyfrujący z niestandardowym pakietem, który pomaga złośliwemu oprogramowaniu (otwiera się w nowej karcie) pozostać w ukryciu. Ponadto zawiera nowe zmiany w algorytmie szyfrowania. Zamiast zmodyfikowanych HC-128 i Curve25519-Donna, ta nowo odkryta wersja zawiera Rabbit Cipher i Curve25519-Donna. Ponadto znacznik pliku nie zawiera już spójnego ciągu, ale zamiast tego przenosi losowe bajty, co dodatkowo wzmacnia kryptografię.

Ponadto kikut zawiera link do strony z cebulą, ale według naukowców strona jest obecnie niedostępna i prawdopodobnie oczekuje na budowę.

Wdrożenie MicroBackdoor

Zazwyczaj operatorzy ransomware robią dwie rzeczy w swoim ataku: wyodrębniają wszystkie wrażliwe dane do lokalizacji, którą mogą kontrolować, i szyfrują wszystko, co znajdą w sieci docelowej. W ten sposób, jeśli ofiara posiada rozwiązanie do tworzenia kopii zapasowych, nadal może grozić wyciekiem wrażliwych danych online lub sprzedażą ich stronie trzeciej.

Odkryto, że Hello XD idzie o krok dalej, ponieważ oprócz oprogramowania ransomware cyberprzestępca implementuje również MicroBackdoor, backdoora o otwartym kodzie źródłowym, który umożliwia zdalne wykonanie kodu, eksfiltrację plików i zmiany systemowe.

Mówiono, że plik wykonywalny złośliwego oprogramowania jest zaszyfrowany za pomocą interfejsu WinCrypt API i osadzony w ładunku ransomware. Nie ma też na myśli konkretnej kwoty pieniędzy, którą stara się zarobić w zamian za klucz deszyfrujący. Zamiast tego każe ofiarom otworzyć usługę czatu TOX i rozpocząć proces negocjacji.

Hello XD został po raz pierwszy zauważony pod koniec ubiegłego roku, kiedy badacze opisali go jako pochodną popularnego wówczas oprogramowania ransomware Babuk. Ten nowo odkryty konstrukt jest jednak znaczącym postępem w stosunku do Babuka, co sugeruje, że stojący za nim aktorzy zamierzają go dalej rozwijać.

Aby chronić się przed cyberatakami, firmom zaleca się edukowanie swoich pracowników w zakresie niebezpieczeństw związanych z phishingiem, aktualizowanie oprogramowania oraz wdrażanie potężnego rozwiązania antywirusowego i zapory sieciowej (otwiera się w nowej karcie).

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to