HelloXD es una familia de ransomware que realiza ataques de doble extorsión que surgieron en noviembre de 2021. Durante nuestra investigación, observamos múltiples variantes que afectan a los sistemas Windows y Linux. A diferencia de otros grupos de ransomware, esta familia de ransomware no tiene un sitio de fuga activo; en cambio, prefiere dirigir a la vÃctima afectada a las negociaciones a través del chat TOX y las instancias de mensajerÃa basadas en cebolla.
Unit 42 realizó un análisis en profundidad de las muestras de ransomware, la ofuscación y la ejecución de esta familia de ransomware, que contiene una funcionalidad central muy similar al código fuente filtrado de Babuk/Babyk. También se observó que una de las muestras implementó MicroBackdoor, una puerta trasera de código abierto que permite a un atacante explorar el sistema de archivos, cargar y descargar archivos, ejecutar comandos y eliminarse del sistema. Creemos que esto probablemente se hizo para monitorear el progreso del ransomware y mantener un punto de apoyo adicional en los sistemas comprometidos.
Durante el análisis de la muestra de MicroBackdoor, la Unidad 42 observó la configuración y encontró una dirección IP incrustada, perteneciente a un actor de amenazas que creemos que es potencialmente el desarrollador: x4k , también conocido como L4ckyguy, unKn0wn, unk0w, _unkn0wn y x4kme .
Unit 42 ha observado x4k en varios foros de piraterÃa y no piraterÃa, lo que ha vinculado al actor de amenazas con actividades maliciosas adicionales como:
- Despliegue de Cobalt Strike Beacon.
- Venta de exploits de prueba de concepto (PoC).
- Servicios de cifrado.
- Desarrollo de distribuciones personalizadas de Kali Linux.
- Hospedaje y distribución de malware.
- Despliegue de infraestructura maliciosa.
No hay comentarios:
Publicar un comentario