Программа-вымогатель Hello XD стала еще опасней

Благодаря новым методам запутывания и возможностям атаки программа- вымогатель Hello XD стала опаснее, чем когда-либо прежде, сообщает Unit 42, подразделение кибербезопасности Palo Alto Networks.

Программа-вымогатель Hello XD стала еще опасней. Фото: Pexels

Группа обнаружила, что Hello XD теперь имеет новый шифратор с настраиваемой упаковкой, который помогает вредоносному ПО оставаться скрытым. Более того, зловред поставляется с новыми изменениями в алгоритме шифрования. Вместо модифицированного HC-128 и Curve25519-Donna эта недавно обнаруженная версия поставляется с Rabbit Cipher и Curve25519-Donna. Кроме того, маркер файла больше не представляет собой связную строку, а содержит случайные байты, что еще больше усиливает криптографию.

Кроме того, штамм содержит ссылку на сайт onion, но, по словам исследователей, сайт в настоящее время недоступен, возможно, в процессе создания

Обычно операторы программ-вымогателей во время своей атаки делают две вещи: удаляют все конфиденциальные данные в место, которое они могут контролировать, и шифруют все, что они находят в целевой сети. Таким образом, если у жертвы есть решение для резервного копирования, они все равно могут угрожать разглашением конфиденциальных данных в Интернете или продать их третьей стороне.

Hello XD делает еще один шаг вперед: было обнаружено, что помимо программы-вымогателя злоумышленник также развертывает MicroBackdoor, бэкдор с открытым исходным кодом, который позволяет удаленно выполнять код, эксфильтрацию файлов и модификации системы.

Сообщается, что исполняемый файл вредоносного ПО зашифрован с помощью WinCrypt API и встроен в полезную нагрузку программы-вымогателя. Он также не имеет в виду конкретную сумму денег, которую он хочет получить в обмен на ключ дешифрования. Вместо этого он предлагает жертвам открыть чат TOX и начать процесс переговоров.

Hello XD впервые был замечен в конце прошлого года, когда исследователи описали его как побочный продукт популярного тогда шифровальщика Babuk. Эта недавно обнаруженная версия, однако, является значительным шагом в сторону от Babuk, что позволяет предположить, что стоящие за ней субъекты угрозы планируют ее дальнейшее развитие.

Чтобы защититься от кибератак, компаниям настоятельно рекомендуется информировать своих сотрудников об опасностях фишинга, обновлять программное обеспечение и устанавливать надежный антивирус и брандмауэр.

Statpack подготовил список инструментов для защиты информации, её безопасной передачи и хранения, а также внутрикорпоративного контроля сотрудников. Защиту от зловредов предоставляют известные антивирусные программы, передачу данных — почтовые программы с функциями шифрования, контроль за сотрудниками — сервисы видеонаблюдения через интернет. В раздел вошли также менеджеры паролей, безопасные облачные хранилища конфидента. Инструменты представлены в виде веб-сервисов, приложений. Их можно развернуть в облаке, на сервере или автономном ПК.

Статьи по теме