Hello XD Ransomware installiert Backdoor auf betroffenen Windows- und Linux-Systemen

  • Windows- und Linux-Systeme werden von einer Ransomware-Variante namens HelloXD angegriffen, wobei die Infektionen auch die Bereitstellung einer Backdoor beinhalten, um einen dauerhaften Fernzugriff auf infizierte Hosts zu ermöglichen.

    „Im Gegensatz zu anderen Ransomware-Gruppen verfügt diese Ransomware-Familie nicht über eine aktive Leck-Site; stattdessen zieht sie es vor, die betroffenen Opfer zu Verhandlungen über Tox-Chat und Onion-basierte Messenger-Instanzen zu leiten“, so Daniel Bunce und Doel Santos, Sicherheitsforscher von Palo Alto Networks Unit 42, in einem neuen Bericht.

    HelloXD tauchte am 30. November 2021 in freier Wildbahn auf und basiert auf dem durchgesickerten Code von Babuk, der im September 2021 in einem russischsprachigen Cybercrime-Forum veröffentlicht wurde.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEi_-K3ujJyseNaosNnhLT4kFwMqa3p3tEEUrubFuVeYgwn0KI3SbSYTIZpiktTIVa2fAtNtsXxtix7QrtE4ZP5vNRmHFD4qrBGj0olqnOsSI7I6VySy7YwG9Z1NKO-AoIqFnhnEuJnxKmWpusTa_42jRCTAeeHJ-BR872VkdtpWd6NZszi8te5rgBL1tg/s1600/SOC2-ads.png]

    Die Ransomware-Familie bildet insofern keine Ausnahme von der Norm, als die Betreiber den bewährten Ansatz der doppelten Erpressung verfolgen, um Zahlungen in Kryptowährung zu verlangen, indem sie die sensiblen Daten eines Opfers nicht nur verschlüsseln, sondern auch exfiltrieren und damit drohen, die Informationen zu veröffentlichen.

    Bei dem fraglichen Implantat mit dem Namen MicroBackdoor handelt es sich um eine Open-Source-Malware, die für die Command-and-Control-Kommunikation (C2) verwendet wird. Ihr Entwickler Dmytro Oleksiuk bezeichnete sie als eine „wirklich minimalistische Sache mit allen grundlegenden Funktionen in weniger als 5.000 Codezeilen“.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEiAo22RXe_jimZImNCZlLZWSERvpX14Kbg_3cBNPeRRckcr7TkpOdvYNHzBOI88TzsT_FQpJbwXHggUpZDylmEOVK7FdOkLGzkhDQvOqqUvbgVxpQpVDWosAk8Umi1rNN32-y8RXM1mDyATow1VMHpkG7pEf0A2teMgfUpUDY7IwzIZDP1mhqVceXTU/s728-e1000/malware-note.jpg]

    Verschiedene Varianten des Implantats wurden von dem weißrussischen Bedrohungsakteur Ghostwriter (auch bekannt als UNC1151) bei seinen Cyberoperationen gegen ukrainische staatliche Organisationen im März 2022 eingesetzt.

    Die Funktionen von MicroBackdoor ermöglichen es einem Angreifer, das Dateisystem zu durchsuchen, Dateien hoch- und herunterzuladen, Befehle auszuführen und Beweise für seine Anwesenheit auf den kompromittierten Computern zu löschen. Es wird vermutet, dass der Einsatz der Backdoor dazu dient, „den Fortschritt der Ransomware zu überwachen“.

    Unit 42 sagte, dass es den wahrscheinlich russischen Entwickler hinter HelloXD – der unter den Online-Pseudonymen x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn und x4kme bekannt ist – mit weiteren bösartigen Aktivitäten wie dem Verkauf von Proof-of-Concept (PoC)-Exploits und benutzerdefinierten Kali-Linux-Distributionen in Verbindung bringt, indem es die digitale Spur des Akteurs zusammensetzt.

    „x4k hat eine sehr solide Online-Präsenz, die es uns ermöglicht hat, einen Großteil seiner Aktivitäten in den letzten zwei Jahren aufzudecken“, so die Forscher. „Dieser Bedrohungsakteur hat wenig getan, um seine bösartigen Aktivitäten zu verbergen, und wird dieses Verhalten wahrscheinlich fortsetzen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Die Ergebnisse kommen zu einem Zeitpunkt, an dem eine neue Studie von IBM X-Force zeigt, dass die durchschnittliche Dauer eines Ransomware-Angriffs auf Unternehmen – d. h. die Zeit zwischen dem ersten Zugriff und der Bereitstellung der Ransomware – zwischen 2019 und 2021 um 94,34 % von über zwei Monaten auf nur 3,85 Tage gesunken ist.

    Die zunehmende Geschwindigkeit und Effizienz im Ransomware-as-a-Service (RaaS)-Ökosystem wird auf die zentrale Rolle von Initial Access Brokern (IABs) zurückgeführt, die sich Zugang zu den Netzwerken der Opfer verschaffen und diesen Zugang dann an Partnerunternehmen verkaufen, die ihrerseits diese Position zur Bereitstellung von Ransomware-Nutzdaten missbrauchen.

    „Der Kauf von Zugang kann die Zeit, die Ransomware-Betreiber zur Durchführung eines Angriffs benötigen, erheblich verkürzen, da er die Erkundung von Systemen und die Identifizierung von Schlüsseldaten früher und einfacher ermöglicht“, so Intel 471 in einem Bericht, der die engen Arbeitsbeziehungen zwischen IABs und Ransomware-Crews aufzeigt.

    „Darüber hinaus können Ransomware-Gruppen, wenn sich die Beziehungen festigen, ein Opfer identifizieren, das sie ins Visier nehmen wollen, und der Zugangshändler könnte ihnen den Zugang gewähren, sobald dieser verfügbar ist.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com