HelloXD-Ransomware

Die HelloXD Ransomware ist eine potente Malware-Bedrohung, die von Cyberkriminellen für Angriffe auf Windows- und Linux-Systeme verwendet wird. Die Malware erregte bereits im November 2021 erstmals die Aufmerksamkeit von Cybersicherheitsforschern und hat sich seitdem kontinuierlich weiterentwickelt. Einige der bedeutenderen Änderungen, die von den Autoren der Bedrohung vorgenommen wurden, wurden in einem Bericht der Einheit 42 von Palo Alto Network detailliert beschrieben.

Laut den Forschern basiert HelloXD auf dem geleakten Quellcode einer anderen Ransomware-Bedrohung namens Babuk/Babyk. Erste Proben verwendeten eine Kombination aus Curve25519-Donna und einem modifizierten HC-128 als Teil des Verschlüsselungsprozesses. Spätere Versionen tauschten jedoch HC-128 gegen die schnellere symmetrische Rabbit-Chiffre aus. HelloXD generiert für jedes infizierte System eine spezifische ID, die die Opfer an die Angreifer senden sollen, um die richtigen Entschlüsselungsschlüssel zu erhalten.

Natürlich sind die Betreiber der Bedrohung nur bereit, ihren Opfern zu helfen, wenn sie ein saftiges Lösegeld zahlen. Um sicherzustellen, dass ihre Forderungen erfüllt werden, führen die Hacker ein doppeltes Erpressungsprogramm durch. In der Praxis bedeutet dies, dass die Daten der angegriffenen Geräte auf einen entfernten Server exfiltriert werden, bevor die Verschlüsselungsroutine aktiviert wird. Im Gegensatz zu anderen cyberkriminellen Organisationen unterhalten die Betreiber der HelloXD Ransomware keine dedizierte Leak-Site. Stattdessen weisen sie die betroffenen Organisationen an, die Kommunikation über Tox Chat, einen Peer-to-Peer-Chat-Client, herzustellen. Die Hacker könnten sich von diesem Verhalten entfernen – einige der neueren Erpresserbriefe, die von HelloXD abgelegt wurden, enthalten einen Link zu einer noch inaktiven Website, die im Onion-Netzwerk gehostet wird.

Eine der merkwürdigeren Entdeckungen der Forscher von Unit 42 ist, dass eine HelloXD-Probe eine Backdoor-Bedrohung auf dem infizierten Gerät hinterlassen hat. Die Backdoor ist eine modifizierte Version eines Open-Source-Tools namens MicroBackdoor, das mit der WinCrypt-API verschlüsselt wurde. Die zusätzliche Malware ermöglicht es den Bedrohungsakteuren, das Dateisystem auf dem angegriffenen Computer zu manipulieren, ausgewählte Dateien hochzuladen, zusätzliche Dateien oder Payloads bereitzustellen und Remote Code Execution (RCE) auszuführen. Die Backdoor-Malware kann auch angewiesen werden, sich selbst vom Gerät des Opfers zu entfernen.