Los investigadores de seguridad cibernética informan una mayor actividad del ransomware HelloXD, cuyos operadores ahora están implementando una muestra mejorada con un cifrado más fuerte.
Observada por primera vez en noviembre de 2021, la familia en particular se basó en el código fuente filtrado de Babuk y participó en una pequeña cantidad de ataques de doble extorsión en los que los actores de amenazas robaron datos corporativos antes de cifrar los dispositivos.
Según un nuevo informe de la Unidad 42 de Palo Alto Networks, el autor del malware ha creado un nuevo encriptador que presenta paquetes personalizados para evitar la detección y cambios en el algoritmo de encriptación.
Unit 42 dijo que la familia de ransomware HelloXD está en sus etapas iniciales, pero están trabajando para localizar al autor. Si bien la funcionalidad del ransomware no es nada nuevo, durante la investigación, siguiendo las líneas, se descubrió que lo más probable es que el ransomware haya sido desarrollado por un actor de amenazas llamado x4k.
En la versión más reciente de HelloXD, denominada como HelloXD versión 2, cambiaron el algoritmo de cifrado, intercambiando el HC-128 modificado con el cifrado simétrico Rabbit de alta velocidad, también junto con Curve25519-Donna. Además, el desarrollador cambió el marcador de archivo, de una cadena coherente a bytes aleatorios.
El cambio más significativo entre las dos versiones fue la introducción de la carga útil adicional dentro de la versión 2 que es una variante de MicroBackdoor de código abierto y está encriptada con la API de WinCrypt. El malware permite un ataque para navegar a través del sistema de archivos comprometido, cargar y descargar archivos y ejecución remota de código (RCE). El malware también puede eliminarse del sistema. El hecho de que la puerta trasera se entregue con el ransomware también es inusual.