HelloXD apareció en la naturaleza el 30 de noviembre de 2021 y se basa en el código filtrado de Babuk
Los sistemas Windows y Linux están siendo atacados por una variante de ransomware llamada HelloXD, y las infecciones también implican la implementación de una puerta trasera para facilitar el acceso remoto persistente a los hosts infectados.
"A diferencia de otros grupos de ransomware, esta familia de ransomware no tiene un sitio de fuga activo; en cambio, prefiere dirigir a la víctima afectada a negociaciones a través del chat Tox y las instancias de mensajería basadas en Onion", dijeron en un nuevo artículo Daniel Bunce y Doel Santos, investigadores de seguridad de Palo Alto Networks Unit 42.
HelloXD apareció en la naturaleza el 30 de noviembre de 2021 y se basa en el código filtrado de Babuk, que se publicó en un foro de ciberdelincuencia en idioma ruso en septiembre de 2021.
La familia de ransomware no es una excepción a la norma en el sentido de que los operadores siguen el enfoque comprobado de la doble extorsión para exigir pagos en criptomoneda extrayendo los datos confidenciales de la víctima, además de cifrarlos y amenazar con publicar la información.
El implante en cuestión, llamado MicroBackdoor, es un malware de código abierto que se usa para comunicaciones de comando y control (C2), y su desarrollador Dmytro Oleksiuk lo calificó como "algo realmente minimalista con todas las características básicas en menos de 5.000 líneas de código".
En particular, el actor de amenazas bielorruso denominado Ghostwriter (también conocido como UNC1151) adoptó diferentes variantes del implante en sus operaciones cibernéticas contra organizaciones estatales ucranianas en marzo de 2022.
Las características de MicroBackdoor permiten a un atacante explorar el sistema de archivos, cargar y descargar archivos, ejecutar comandos y borrar evidencia de su presencia de las máquinas comprometidas. Se sospecha que el despliegue de la puerta trasera se lleva a cabo para "monitorear el progreso del ransomware".
Unit 42 dijo que vinculó al probable desarrollador ruso detrás de HelloXD, que usa los alias en línea x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn y x4kme, con otras actividades maliciosas, como la venta de exploits de prueba de concepto (PoC) y distribuciones personalizadas de Kali Linux al reconstruir el rastro digital del actor.
"x4k tiene una presencia en línea muy sólida, lo que nos ha permitido descubrir gran parte de su actividad en estos últimos dos años", dijeron los investigadores. "Este actor de amenazas ha hecho poco para ocultar la actividad maliciosa y probablemente continuará con este comportamiento".
Los hallazgos surgen cuando un nuevo estudio de IBM X-Force reveló que la duración promedio de un ataque de ransomware empresarial, es decir, el tiempo entre el acceso inicial y la implementación del ransomware, se redujo un 94,34 % entre 2019 y 2021 de más de dos meses a solo 3,85 días.
Las tendencias de mayor velocidad y eficiencia en el ecosistema de ransomware como servicio (RaaS) se han atribuido al papel fundamental que desempeñan los intermediarios de acceso inicial (IABs) para obtener acceso a las redes de las víctimas y luego vender el acceso a los afiliados, quienes, a su vez, abusan del punto de apoyo para implementar cargas útiles de ransomware.
"La compra de acceso puede reducir significativamente la cantidad de tiempo que tardan los operadores de ransomware en realizar un ataque al permitir el reconocimiento de sistemas y la identificación de datos clave antes y con mayor facilidad", dijo Intel 471 en un informe que destaca las estrechas relaciones de trabajo entre los IAB y equipos de ransomware.
"Además, a medida que las relaciones se fortalecen, los grupos de ransomware pueden identificar a una víctima a la que desean apuntar y el comerciante de acceso podría proporcionarles el acceso una vez que esté disponible".
