HelloXD-Ransomware-Varianten gefunden, die eine Backdoor auf Windows- und Linux-Rechnern installieren

  • Die Cybersecurity-Forscher von Unit 42 haben mehrere Varianten der Ransomware HelloXD entdeckt, die nach der Infektion sowohl auf Windows- als auch auf Linux-Rechnern eine Backdoor installieren können.

    In einem Blogbeitrag auf der Website des Unternehmens sagten die Unit 42-Forscher Daniel Bunce und Doel Santos letzte Woche, dass sie HelloXD, eine Ransomware-Familie, die doppelte Erpressungsangriffe durchführt, erstmals im November 2021 entdeckten.

    Nach einer Analyse der Ransomware-Samples kamen die Sicherheitsexperten zu dem Schluss, dass die Verschleierungs- und Ausführungstaktiken von HelloXD eine sehr ähnliche Kernfunktionalität wie der durchgesickerte Babuk/Babyk-Quellcode aufweisen.

    Bunce und Santos stellten außerdem fest, dass eines der Beispiele eine Open-Source-Backdoor namens MicroBackdoor enthielt, die es den Angreifern ermöglichte, das Dateisystem zu durchsuchen, Dateien hoch- und herunterzuladen, Befehle auszuführen und ihren Fußabdruck vom System zu entfernen.

    „Wir glauben, dass dies wahrscheinlich geschah, um den Fortschritt der Ransomware zu überwachen und ein zusätzliches Standbein in kompromittierten Systemen aufrechtzuerhalten“, heißt es im Beitrag von Unit 42.

    Die Malware-Analyse deutet auch darauf hin, dass HelloXD keine aktive Leck-Site hat. Die böswilligen Akteure hinter der Malware ziehen es vor, mit den Opfern über Tox-Chat und Onion-basierte Messenger-Plattformen zu verhandeln.

    Bunce und Santos sagten, dass sie eine eingebettete IP-Adresse in der Malwareprobe gefunden haben, die typischerweise mit dem Bedrohungsakteur und Entwickler x4k in Verbindung gebracht wird, auch bekannt als L4ckyguy, unKn0wn, unk0w, _unkn0wn und x4kme.

    „Außerdem haben wir beobachtet, dass die ursprüngliche E-Mail mit einem GitHub-Konto verknüpft war.[…]sowie mit verschiedenen Foren, darunter XSS, ein bekanntes russischsprachiges Hackerforum, das eingerichtet wurde, um Wissen über Exploits, Schwachstellen, Malware und Netzwerkpenetration auszutauschen.“

    Die Forscher von Unit 42 schlossen ihren Beitrag mit der Warnung, dass es sich bei HelloXD zwar um eine Ransomware-Familie im Anfangsstadium handelt, diese aber bereits beabsichtigt, Unternehmen zu schädigen.

    „Ransomware ist ein lukratives Geschäft, wenn es richtig gemacht wird. Unit 42 hat im jüngsten Ransomware Threat Report beobachtet, dass die Lösegeldforderungen und durchschnittlichen Zahlungen steigen“, schreiben Bunce und Santos.

    „Unit 42 glaubt, dass x4k, dieser Bedrohungsakteur, jetzt in das Ransomware-Geschäft einsteigt, um von den Gewinnen anderer Ransomware-Gruppen zu profitieren.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com