Ce cruel décrypteur de ransomware ne fait qu'empirer les choses

Avec de nouvelles techniques d'obscurcissement et de nouvelles capacités d'attaque, le rançongiciel Hello XD (ouvre un nouvel onglet) est désormais plus dangereux que jamais, a découvert Unit 42, la branche cybersécurité de Palo Alto Networks.

Le groupe a découvert que Hello XD propose désormais un nouveau chiffreur avec un package personnalisé, qui aide le logiciel malveillant (s'ouvre dans un nouvel onglet) à rester caché. En outre, il est livré avec de nouveaux changements dans l'algorithme de cryptage. Au lieu de HC-128 et Curve25519-Donna modifiés, cette version nouvellement découverte est livrée avec Rabbit Cipher et Curve25519-Donna. De plus, le marqueur de fichier ne porte plus une chaîne cohérente, mais porte à la place des octets aléatoires, renforçant encore la cryptographie.

De plus, la souche contient un lien vers un site d'oignons, mais selon les chercheurs, le site est actuellement hors ligne, peut-être en attente de construction.

Implémenter MicroBackdoor

En règle générale, les opérateurs de ransomwares font deux choses dans leur attaque : ils extraient toutes les données sensibles vers un emplacement qu'ils peuvent contrôler et ils chiffrent tout ce qu'ils trouvent sur le réseau cible. De cette façon, si la victime dispose d'une solution de sauvegarde, elle peut toujours menacer de divulguer des données sensibles en ligne ou de les vendre à un tiers.

Hello XD va encore plus loin, a-t-il été constaté, car en plus du ransomware, l'acteur de la menace implémente également MicroBackdoor, une porte dérobée open source qui permet l'exécution de code à distance, l'exfiltration de fichiers et les modifications du système.

L'exécutable du malware est crypté avec l'API WinCrypt et intégré dans la charge utile du ransomware, a-t-on dit. Il n'a pas non plus en tête une somme d'argent spécifique, qu'il cherche à gagner en échange de la clé de déchiffrement. Au lieu de cela, il dit aux victimes d'ouvrir un service de chat TOX et de lancer un processus de négociation.

Hello XD a été repéré pour la première fois à la fin de l'année dernière, lorsque des chercheurs l'ont décrit comme un dérivé du rançongiciel Babuk alors populaire. Cette construction nouvellement découverte, cependant, est une avancée significative par rapport à Babuk, ce qui suggère que les acteurs de la menace derrière elle prévoient de la développer davantage.

Pour se protéger des cyberattaques, il est conseillé aux entreprises de sensibiliser leurs employés aux dangers du phishing, de maintenir leurs logiciels à jour et de mettre en place une puissante solution antivirus et pare-feu (ouvre dans un nouvel onglet).

Via : BleepingComputer (Ouvre dans un nouvel onglet)

Share