El ransomware HelloXD presenta un cifrado más sólido y elimina la puerta trasera

La familia de ransomware HelloXD apareció en noviembre de 2021 con tácticas de doble extorsión. Sin embargo, el grupo es único ya que negocia con la víctima a través de chat basados en Tor y TOX. HelloXD ahora está implementando una nueva muestra que viene con un cifrado mejorado. Unit42 de Palo Alto Networks detectó […]

La familia de ransomware HelloXD apareció en noviembre de 2021 con tácticas de doble extorsión. Sin embargo, el grupo es único ya que negocia con la víctima a través de chat basados en Tor y TOX.

HelloXD ahora está implementando una nueva muestra que viene con un cifrado mejorado.

Unit42 de Palo Alto Networks detectó similitudes entre el código de HelloXD y el código fuente filtrado de Babuk. Las últimas muestras de HelloXD implementaron una puerta trasera de código abierto, denominada MicroBackdoor, que permite al operador examinar el sistema de archivos, descargar o cargar archivos, eliminar rastros y ejecutar comandos.

La puerta trasera se cifra a través de la API de WinCrypt y se integra dentro de la carga útil, lo que implica que se coloca en el sistema inmediatamente después de la infección.

El empaquetador personalizado cuenta con una doble capa de ofuscación. El crypter se deriva modificando UPX. La parte más singular de la segunda versión del ransomware es que cambia los algoritmos de cifrado de HC-128 y Curve25519-Donna modificados a Rabbit Cipher y Curve25519-Donna.

Además, el marcador de archivo en esta versión se cambió a bytes aleatorios de cadenas coherentes, lo que resultó en una criptografía poderosa.

Aunque está en desarrollo, HelloXD es un peligroso ransomware en etapa inicial. Sus volúmenes de infección no están por las nubes, pero sus ataques están dirigidos, lo que significa el estado peligroso que puede alcanzar en el futuro cercano. El actor de amenazas responsable del malware, X4KME, parece ser técnicamente capaz, ya que previamente ha subido tutoriales sobre la implementación de Cobalt Strike y otros.

Además, la implementación de MicroBackdoor indica que el actor de amenazas podría monitorear el progreso y mantener un punto de apoyo en los sistemas infectados.

Incluso el ransomware Cuba resurgió con un nuevo cifrador y un descargador personalizado.

El grupo de ransomware DeadBolt ha recurrido a la extorsión de varios niveles, en la que exige un rescate tanto del proveedor como de las víctimas.

YourCyanide, un nuevo ransomware basado en CMD, integra documentos de Pastebin, Discord y Microsoft como parte de su mecanismo de descarga de carga útil.