باج افزار Hello XD یک درپشتی هنگام رمز گذاری ایجاد میکند.

باج افزار Hello XD یک درپشتی هنگام رمز گذاری ایجاد میکند.

محققان امنیت سایبری، افزایش فعالیت های باج افزار Hello XD را گزارش داده اند، که عاملان در حال توسعه ی یک نمونه جدید هستند که رمزگذاری قوی تری دارد.

محققان امنیت سایبری، افزایش فعالیت های باج افزار Hello XD را گزارش داده اند، که عاملان در حال توسعه ی یک نمونه جدید هستند که رمزگذاری قوی تری دارد.
ابتدا در نوامبر 2021 مشاهده شد، خانواده ی خاص آن براساس سورس کد لو رفته Babuk بوده و تعدادی کمی حملات اخاذی-دوگانه استفاده شده جایی که افراد هکر اطلاعات شرکت را قبل از رمز گذاری به سرقت میبردند.
این یک حرکت خاص از کد Babuk را یادآور میشود و نیت های عامل در توسعه یک رشته باج افزار جدید با قابلیت و ویژگی های خاص را برای افزایش حمله ها نشان میدهد.
عملیات باج افزاری Hello XD
عملیات باج افزاری Hello XD در حال حاضر از سایت پرداخت تور جهت اخاذی قربانیان استفاده نمیکند اما در ازایش به قربانی ها اطلاع میدهد تا وارد یک مذاکره مستقیم از طریق سرویس چت TOX شوند.

باج افزار hello xd

هنگامی که اجرا شود، Hello XD، shadow copies را غیر فعال میکند تا از ریکاوری راحت سیستم جلوگیری شود و سپس فایل ها را قفل گذاری میکند، یک پسوند .hello به آخر اسم فایل ها اضافه میکند.
جدا از پیلود باج افزار، Unit 42 مشاهده کرده است که عاملان Hello XD در حال حاضر از یک درپشتی متن باز به نام MicroBackdoor استفاده میکند تا سیستم های در معرض خطر را هدایت کنند، فایل ها را حذف کنند، دستورات را اجرا کنند، و رد پا ها را محو کنند.
این فایل اجرایی MicroBackdoor رمز گذاری شده است و از API WinCrypt و در درون پیلود باج افزار تعبیه شده است، تا بلافاصله پس از آلوده شدن سیستم دراپ شود.

باج افزار hello xd

رمزگذار و رمزگذاری
Packer شخصی سازی شده ای که در نسخه ی دوم پیلود باج افزار پیاده سازی میشود، شامل دو لایه ی ناشناس است.
عامل رمزگذار را از طریق اصلاح UPX ایجاد کرده است، یک packer متن باز که عاملان بدافزار بسیاری در گذشته از آن سؤاستفاده کرده اند.

باج افزار hello XD

Blob های رمزگشایی تعبیه شده شامل استفاده از یک الگورتیم شخصی سازی شده شامل دستور العمل های غیر معمول همانند XLAT است، در حالی که API های در packer که فراخوانی میکنند خیلی مبهم نیستند.
جالبترین بخش نسخه اصلی دوم Hello XD سویچینگ الگوریتم رمزگذار آن است که از HC-128 و Curve25519-Donna به Rabbit Cipher و Curve25519-Donna تغییر کرده است.

باج افزار heelo XD

در اضافه، سازنده فایل در نسخه دوم از یک رشته چسبیده به بایت های شانسی تغییر کرده است، که نتایج رمزنگاری را قوی تر میکند.
باید انتظار چه چیزی را داشته باشیم
در این زمان، Hello XD یک پروژه باج افزار بسیار خطرناک مراحل اولیه است که در حال حاضر به صورت in the wild وجود دارد. اگرچه میزان آلودگی آن قابل توجه نیست هنوز، فعال بودن و رشد هدف دار آن شرایطی را برای خطرناک تر بودن وضعیت آن مشخص میکند.
Unit 42 ریشه آن را به افراد روسی زبان ردیابی کرده است از نام مستعار X4KME استفاده میکنند، کسانی که آموزش برای راه اندازی Cobalt Strike Beacons و بدافزار زیر ساخت آنلاین آپلود کرده اند.

باج افزار hello XD

در اضافه، همان هکر در فروم ها پیشنهاد اکسپلویت های PoC، سرویس های رمزنگاری، توزیع های شخصی سازی شده کالی و سرویس های میزبانی و پخش بدافزار کرده است.
در کل، به نظر میرسد هکر خاص با دانش است و در موقعیتی است که Hello XD را به جلو براند، بنابراین نیاز است تا توسعه ی آن از نزدیک مورد بررسی قرار گیرد.

منبع : www.bleepingcomputer.com