Siber güvenlik araştırmacıları, operatörleri şimdi daha güçlü şifreleme içeren yükseltilmiş bir örnek kullanan Hello XD Fidye Yazılımının artan aktivitesini bildiriyor.
İlk olarak Kasım 2021'de gözlemlenen belirli aile, Babuk'un sızdırılmış kaynak koduna dayanıyordu ve tehdit aktörlerinin cihazları şifrelemeden önce kurumsal verileri çaldığı az sayıda çift genişlemeli saldırıda bulundu.
Palo Alto Networks Unit 42'nin yeni bir raporuna göre, kötü amaçlı yazılım yazarı, algılama önleme ve şifreleme algoritması değişiklikleri için özel paketleme içeren yeni bir şifreleme oluşturdu.
Bu, Babuk kodundan önemli bir ayrılışa işaret ediyor ve yazarın benzersiz yetenekleri ve artan saldırılar için özellikleri olan yeni bir fidye yazılımı gerginliği geliştirme niyetini vurguluyor.
Hello XD Fidye Yazılımı Operasyonu şu anda kurbanları zorlamak için bir TOR ödeme sitesi kullanmıyor, bunun yerine kurbanlara doğrudan bir Tox sohbet hizmeti aracılığıyla müzakerelere girmeleri talimatını veriyor.
En son sürümde, kötü amaçlı yazılım operatörleri düşürülen fidye notuna bir soğan sitesi bağlantısı eklediler, ancak ünite 42 sitenin çevrimdışı olduğunu söylüyor, bu nedenle yapım aşamasında olabilir.
Hello XD, yürütüldüğünde, kolay sistem kurtarmayı önlemek için gölge kopyalarını devre dışı bırakmaya çalışır ve ardından dosyaları şifreler ve .Hello uzantısını dosya adlarına ekler.
Fidye yazılımı yükünün yanı sıra, ünite 42, artık güvenliği ihlal edilen sistemde gezinmek, dosyaları dışarı atmak, komutları yürütmek ve izleri silmek için MicroBackDoor adlı açık kaynaklı bir arka kapı kullanan Hello XD operatörlerini de gözlemledi.
Bu MicroBackDoor yürütülebilir dosyası Wincrypt API kullanılarak şifrelenir ve fidye yazılımı yüküne gömülür, bu nedenle enfeksiyon üzerine hemen sisteme bırakılır.
Fidye yazılımı yükünün ikinci sürümünde dağıtılan özel paketleyici, iki katmanlı gizleme içerir.
Yazar, çok sayıda kötü amaçlı yazılım yazarının geçmişte yaygın olarak istismar ettiği açık kaynaklı bir paketleyici olan UPX'i değiştirerek Crypter'ı türetti.
Gömülü blobların şifre çözülmesi, Xlat gibi alışılmadık talimatlar içeren özel bir algoritmanın kullanılmasını içerirken, Packer'daki API çağrıları garip bir şekilde gizlenmez.
Hello XD'nin ikinci ana sürümünün en ilginç yönü, şifreleme algoritmasını değiştirilmiş HC-128 ve Curve25519-Donna'dan tavşan şifre ve Curve25519-Donna'ya değiştirmektir.
Ek olarak, ikinci sürümdeki dosya işaretleyicisi tutarlı bir dizeden rastgele bayt olarak değiştirildi ve kriptografik sonucu daha güçlü hale getirdi.
Şu anda, Hello XD şu anda The Wild'da kullanılan tehlikeli bir erken aşama fidye yazılımı projesidir. Enfeksiyon hacimleri henüz önemli olmasa da, aktif ve hedefli gelişimi daha tehlikeli bir statü için zemin hazırlar.
Ünite 42, Kobalt Strike Beacons ve kötü niyetli altyapıyı çevrimiçi olarak dağıtmak için öğreticiler yükleyen X4KME takma adını kullanarak kökenlerini Rusça konuşan bir tehdit aktörüne kadar takip etti.
Buna ek olarak, aynı hacker, kavram kanıtı (POC) istismarları, Crypter hizmetleri, özel Kali Linux dağıtımları ve kötü amaçlı yazılım barındırma ve dağıtım hizmetleri sunmak için forumlarda yayınladı.
Sonuçta, özel tehdit oyuncusu bilgili ve Hello XD'yi ileriye taşıyabilecek bir konumda görünüyor, bu nedenle analistlerin gelişimini yakından izlemeleri gerekiyor.
Microsoft: Blackcat Ransomware'i dağıtmak için hacklenen Exchange sunucuları
Confluence sunucuları Avoslocker, Cerber2021 Ransomware'i dağıtmak için hacklendi
Ransomware'de Hafta - 10 Haziran 2022 - Linux'u Hedefleme
Ransomware DeRryptor satmak için kullanılan Roblox Game Pass Mağazası
Vice Society fidye yazılımı İtalyan Şehri Palermo'ya saldırı iddiaları
Kaynak: Bleeping Computer