Come potreste sapere, i ransomware agiscono criptando file e dati, anche al livello dell’intero sistema/disco, per consentire ai criminali di esigere un riscatto con la promessa di restituire alla vittima l’accesso ai sistemi colpiti.

Di recente, i ricercatori di Palo Alto Networks Unit 42 hanno scoperto una maggiore attività del ransomware noto come Hello XD, con una versione connotata da una crittografia ancora più efficace. Questo malware è operativo già da novembre 2021 e basato sul codice sorgente di Babuk, protagonista di alcuni casi di doppia estorsione (furto di dati + crittografia ed estorsione).

Secondo i ricercatori il malware ora gode di un nuovo strumento crittografico in grado di evitare i sistemi di rilevamento e modificare l’algoritmo di crittografia tramite packing personalizzato. Dunque, viene abbandonato Babuk in funzione di un nuovo ceppo di ransomware con capacità uniche. Tra gli aspetti più notevoli, e preoccupanti di Hello XD, è che il malware rilascia una backdoor sul sistema colpito durante le operazioni di crittografia, inoltre tenta di disattivare le copie nascoste per impedire il ripristino del sistema, per poi criptare i file con estensione .hello.

La backdoor è open source ed è nota come MicroBackdoor e consente di accedere al sistema compromesso, esfiltrare i dati, eseguire comandi e cancellare ogni traccia della sua presenza. Hello XD viene già utilizzato in attacchi reali, gettando al contempo le fondamenta per ulteriori violazioni. Secondo Unit 42, avrebbe origini russe, dato che il malware può essere ricollegato a X4KME, un hacker russo che avrebbe condiviso dei tutorial sull’implementazione dei beacon Cobal Strike e dell’infrastruttura dannosa.

Sempre lo stesso hacker avrebbe pubblicato su alcuni forum dei proof-of-concept, servizi crittografici, distribuzioni personalizzate dei Kali Linux e servizi di distribuzione e hosting di malware. Tutto lascia intendere che si tratti di un soggetto molto competente e che potrebbe rendere Hello XD ancora più subdolo ed efficace. Per questo motivo, gli analisti dovranno monitorare la situazione in modo approfondito.