Con nuove tecniche di offuscamento e capacità di attacco, il ransomware Hello XD (si apre in una nuova scheda) è ora più pericoloso che mai, ha scoperto l'Unità 42, il braccio di sicurezza informatica di Palo Alto Networks.

Il gruppo ha scoperto che Hello XD ora offre un nuovo encryptor con un pacchetto personalizzato, che aiuta il malware (si apre in una nuova scheda) a rimanere nascosto. Inoltre, viene fornito con nuove modifiche all'algoritmo di crittografia. Invece di HC-128 e Curve25519-Donna modificati, questa versione appena scoperta viene fornita con Rabbit Cipher e Curve25519-Donna. Inoltre, l'indicatore di file non contiene più una stringa coerente, ma contiene invece byte casuali, rafforzando ulteriormente la crittografia.

Inoltre, il moncone contiene un collegamento a un sito di cipolle, ma secondo i ricercatori, il sito è attualmente offline, probabilmente in attesa di costruzione.

Implementare MicroBackdoor

In genere, gli operatori di ransomware fanno due cose nel loro attacco: estraggono tutti i dati sensibili in una posizione che possono controllare e crittografano tutto ciò che trovano sulla rete di destinazione. In questo modo, se la vittima dispone di una soluzione di backup, può comunque minacciare di far trapelare dati sensibili online o venderli a terzi.

È stato scoperto che Hello XD fa un ulteriore passo avanti, perché oltre al ransomware, l'attore delle minacce implementa anche MicroBackdoor, una backdoor open source che consente l'esecuzione di codice in remoto, l'esfiltrazione di file e le modifiche al sistema.

L'eseguibile del malware è crittografato con l'API WinCrypt e incorporato nel payload del ransomware, si diceva. Inoltre non ha in mente una specifica quantità di denaro, che cerca di guadagnare in cambio della chiave di decrittazione. Invece, dice alle vittime di aprire un servizio di chat TOX e avviare un processo di negoziazione.

Hello XD è stato avvistato per la prima volta alla fine dell'anno scorso, quando i ricercatori lo hanno descritto come un derivato dell'allora popolare ransomware Babuk. Questo costrutto scoperto di recente, tuttavia, rappresenta un progresso significativo rispetto a Babuk, suggerendo che gli attori della minaccia dietro di esso pianifichino di svilupparlo ulteriormente.

Per proteggersi dagli attacchi informatici, si consiglia alle aziende di istruire i propri dipendenti sui pericoli del phishing, mantenere aggiornato il proprio software e implementare una potente soluzione antivirus e firewall (si apre in una nuova scheda).

Via: BleepingComputer (si apre in una nuova scheda)

Condividi questo