Peneliti keamanan siber melaporkan peningkatan aktivitas ransomware Hello XD, yang operatornya sekarang menerapkan sampel yang ditingkatkan dengan enkripsi yang lebih kuat.
Pertama kali diamati pada November 2021, keluarga tertentu didasarkan pada kode sumber yang bocor dari Babuk dan terlibat dalam sejumlah kecil serangan pemerasan ganda di mana pelaku ancaman mencuri data perusahaan sebelum mengenkripsi perangkat.
Menurut sebuah laporan baru oleh Palo Alto Networks Unit 42, pembuat malware telah menciptakan sebuah encryptor baru yang menampilkan custom packing untuk menghindari deteksi dan perubahan algoritma enkripsi.
Ini menandai keberangkatan yang signifikan dari kode Babuk dan menyoroti niat penulis untuk mengembangkan jenis ransomware baru dengan kemampuan dan fitur unik untuk meningkatkan serangan.
Operasi ransomware Hello XD saat ini tidak menggunakan situs pembayaran Tor untuk memeras korban, melainkan menginstruksikan korban untuk memasuki negosiasi secara langsung melalui layanan obrolan TOX.
Dalam versi terbaru, operator malware telah menambahkan tautan situs bawang pada catatan tebusan yang dijatuhkan, tetapi Unit 42 mengatakan situs itu offline, jadi mungkin sedang dalam pembangunan.
Saat dijalankan, Hello XD mencoba menonaktifkan salinan bayangan untuk mencegah pemulihan sistem yang mudah dan kemudian mengenkripsi file, menambahkan ekstensi .hello ke nama file.
Selain muatan ransomware, Unit 42 juga mengamati operator Hello XD sekarang menggunakan pintu belakang sumber terbuka bernama MicroBackdoor untuk menavigasi sistem yang disusupi, mengekstrak file, menjalankan perintah, dan menghapus jejak.
Eksekusi MicroBackdoor ini dienkripsi menggunakan WinCrypt API dan disematkan di dalam muatan ransomware, sehingga langsung dijatuhkan ke sistem setelah terinfeksi.
Pengemas kustom yang digunakan dalam versi kedua payload ransomware menampilkan dua lapisan kebingungan.
Penulis telah menurunkan crypter dengan memodifikasi UPX, sebuah paket open-source yang telah disalahgunakan oleh banyak pembuat malware di masa lalu.
Dekripsi gumpalan yang disematkan melibatkan penggunaan algoritme khusus yang berisi instruksi tidak konvensional seperti XLAT, sementara panggilan API dalam pengepakan anehnya tidak dikaburkan.
Aspek paling menarik dari versi utama kedua Hello XD adalah mengganti algoritma enkripsi dari HC-128 dan Curve25519-Donna yang dimodifikasi ke Rabbit Cipher dan Curve25519-Donna.
Selain itu, penanda file di versi kedua diubah dari string yang koheren menjadi byte acak, membuat hasil kriptografi lebih kuat.
Saat ini, Hello XD adalah proyek ransomware tahap awal berbahaya yang saat ini digunakan di alam liar. Meskipun volume infeksinya belum signifikan, perkembangannya yang aktif dan terarah meletakkan dasar untuk status yang lebih berbahaya.
Unit 42 melacak asal-usulnya ke aktor ancaman berbahasa Rusia menggunakan alias X4KME, yang mengunggah tutorial tentang penggelaran Cobalt Strike Beacons dan infrastruktur berbahaya secara online.
Selain itu, peretas yang sama telah memposting di forum untuk menawarkan eksploitasi proof-of-concept (PoC), layanan crypter, distribusi Kali Linux khusus, dan layanan hosting dan distribusi malware.
Sumber: Bleeping Computer
