idNSA.id - Sistem Windows dan Linux sedang ditargetkan oleh
varian ransomware yang disebut HelloXD, dengan infeksi yang melibatkan
penyebaran backdoor untuk memfasilitasi akses remote yang terus-menerus ke host
yang terinfeksi.
"Tidak seperti grup ransomware lainnya, keluarga
ransomware ini tidak memiliki situs kebocoran aktif; melainkan lebih suka
mengarahkan korban yang terkena dampak ke negosiasi melalui obrolan Tox dan
instance messenger berbasis Onion," Daniel Bunce dan Doel Santos, peneliti
keamanan dari Palo Alto Networks Unit 42, mengatakan dalam sebuah tulisan.
HelloXD muncul di publik pada 30 November 2021, dan
didasarkan pada kode yang bocor dari Babuk, yang diterbitkan di forum
cybercrime berbahasa Rusia pada September 2021.
Keluarga ransomware ini mengikuti pendekatan double extortion
yang telah dicoba dan diuji untuk menuntut pembayaran cryptocurrency dengan
mengekstraksi data sensitif korban selain mengenkripsinya dan mengancam untuk
mempublikasikan informasi.
Ransomware ini menggunakan varian implant MicroBackdoor yang merupakan malware open-source digunakan untuk komunikasi command-and-control (C2), dengan pengembangnya Dmytro Oleksiuk menyebutnya sebagai "hal yang sangat minimalis dengan semua fitur dasar dalam waktu kurang dari 5.000 baris dari kode."
Fitur MicroBackdoor memungkinkan penyerang untuk menelusuri
sistem file, mengunggah dan mengunduh file, menjalankan perintah, dan menghapus
bukti keberadaannya dari sistem. Diduga penyebaran backdoor dilakukan untuk
"memantau progress ransomware."
Unit 42 mengatakan mereka menghubungkan kemungkinan developer
Rusia di belakang HelloXD — yang menggunakan nama alias online x4k, L4ckyguy,
unKn0wn, unk0w, _unkn0wn, dan x4kme — ke aktivitas yang salah seperti menjual
eksploitasi proof-of-concept (PoC) dan Kali kustom Distribusi Linux dengan
menyatukan jejak digital pelaku.
