HelloXD: o novo ransomware para Linux e Windows que também instala um backdoor
A situação só pode piorar. Os sistemas Windows e Linux são novamente alvo de uma variante de ransomware chamada HelloXD . No entanto, não é apenas ransomware: as infecções também envolvem a instalação e ativação de um backdoor oculto para facilitar o acesso remoto persistente a hosts infectados por pessoas mal-intencionadas.
Para os não iniciados, o objetivo do ransomware é agir criptografando os dados e arquivos do usuário , mesmo em todo o sistema/nível do disco. Isso permite que os criminosos exijam um resgate, com a promessa de devolver à vítima o acesso completo aos dados afetados.
HelloXD: O que há de especial neste ransomware?
Recentemente, no entanto, pesquisadores da Unidade 42 da Palo Alto Networks descobriram uma intensificação da atividade de um ransomware específico conhecido como Hello XD. Em particular, é uma versão caracterizada por uma criptografia ainda mais eficaz que as anteriores. Este malware está operacional desde novembro de 2021 e parece ser baseado no código-fonte Babuk , que foi publicado em um fórum de crimes cibernéticos em russo e esteve envolvido em alguns casos de dupla extorsão (onde por dupla extorsão queremos dizer criptografia e roubo de dados com extorsão).
Entre os aspectos mais preocupantes do Hello XD , encontramos a capacidade do ransomware de liberar um backdoor no sistema afetado, durante as operações de criptografia. Finalmente, ele tenta desabilitar completamente a capacidade de restaurar o sistema para um estado anterior e, finalmente, criptografar os arquivos com a extensão .hello .
O backdoor usado é de código aberto e está disponível no GitHub . Este é o MicroBackdoor: entre os recursos, encontramos a possibilidade de um invasor explorar o sistema de arquivos, fazer upload e download de arquivos, executar comandos e excluir evidências de sua presença de máquinas comprometidas. Suspeita-se que a implementação do backdoor seja "para monitorar o progresso do ransomware" .
A equipe de pesquisa parece ter vinculado o ransomware a um desenvolvedor russo por trás do HelloXD , que está sob os pseudônimos online de x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn e x4kme, a outras atividades maliciosas, como a venda de explorações de prova de conceito ( PoC):
“A X4k tem uma presença online muito forte, o que nos permitiu descobrir grande parte de seus negócios nos últimos dois anos. Felizmente, pouco fez para esconder suas atividades maliciosas e provavelmente continuará com esse comportamento”.
Um pouco de fundo sobre esses malwares específicos
Um ransomware é um tipo de malware que restringe o acesso ao dispositivo que infecta, exigindo que um resgate, que se traduz em "resgate" em inglês, seja pago para remover a restrição. Inicialmente difundidos na Rússia, os ataques de ransomware agora são perpetrados em todo o mundo e estão entre os ataques mais frutíferos que um grupo de criminosos pode realizar, bem como os mais usados.
Em junho de 2013, a empresa de software McAfee, especializada em software de segurança, divulgou dados mostrando que 250.000 tipos diferentes de ransomware foram registrados nos primeiros três meses de 2013 , mais que o dobro do número obtido nos primeiros três meses do ano. . CryptoLocker, um worm ransomware que apareceu no final de 2013, arrecadou cerca de US$ 3 milhões antes de ser inofensivo pelas autoridades.
O primeiro ransomware conhecido foi o trojan AIDS, também conhecido como "PC Cyborg", escrito em 1989 pelo biólogo Joseph Popp, que executava um payload que mostrava ao usuário uma mensagem informando que a licença de algum software instalado havia expirado, criptografava o arquivos do disco rígido e obrigou o usuário a pagar US$ 189 à “PC Cyborg Corporation” para desbloquear o sistema. Popp foi declarado incapaz de entender e não foi julgado, mas prometeu doar os lucros do malware para pesquisas para a cura da AIDS.
O artigo HelloXD: o novo ransomware para Linux e Windows que também instala um backdoor foi escrito em: Tech CuE | Engenharia de close-up .
