HelloXDランサムウェア

HelloXDランサムウェアは強力なマルウェアの脅威であり、サイバー犯罪者がWindowsシステムとLinuxシステムの両方に対する攻撃に使用しています。このマルウェアは、2021年11月にサイバーセキュリティ研究者の注目を集め、それ以来、継続的に進化しています。脅威の作成者によって行われたより重要な変更のいくつかは、パロアルトネットワークスのユニット42によるレポートで詳しく説明されています。

研究者によると、HelloXDは、 Babuk / Babykという名前の別のランサムウェア脅威の漏洩したソースコードに基づいています。最初のサンプルでは、暗号化プロセスの一部としてCurve25519-Donnaと変更されたHC-128の組み合わせを使用しました。ただし、それ以降のバージョンでは、HC-128がより高速なRabbit対称暗号に交換されました。 HelloXDは、感染したシステムごとに特定のIDを生成します。このIDは、被害者が攻撃者に送信して、正しい復号化キーを受信することになっています。

もちろん、脅威のオペレーターは、多額の身代金を支払われた後、犠牲者に援助を提供することをいとわないだけです。実際、彼らの要求が確実に満たされるようにするために、ハッカーは二重恐喝スキームを実行します。実際には、これは、暗号化ルーチンが実行される前に、侵害されたデバイスのデータがリモートサーバーに盗み出されることを意味します。他のサイバー犯罪組織とは異なり、HelloXDランサムウェアの運営者は専用のリークサイトを維持していません。代わりに、影響を受ける組織に、ピアツーピアチャットクライアントであるToxチャットを介して通信を確立するように指示します。ハッカーはこの振る舞いから離れようとしている可能性があります。HelloXDによってドロップされた最近の身代金メモの一部には、Onionネットワークでホストされている現在の非アクティブなWebサイトへのリンクが含まれています。

Unit 42の研究者が行ったより特異な発見の1つは、1つのHelloXDサンプルが感染したデバイスにバックドアの脅威を落としたことです。バックドアは、WinCryptAPIで暗号化されたMicroBackdoorと呼ばれるオープンソースツールの修正バージョンです。追加のマルウェアにより、攻撃者は侵害されたマシン上のファイルシステムを操作し、選択したファイルをアップロードし、追加のファイルまたはペイロードを配信し、リモートコード実行（RCE）を実行できます。バックドアマルウェアは、被害者のデバイスから自分自身を削除するように指示することもできます。