I ricercatori di Palo Alto Networks Unit 42 hanno scoperto che il ransomware Hello XD è stato aggiornato per distribuire una backdoor. I cybercriminali cercano quindi di ottenere il massimo risultato dai loro attacchi. Questo tipo di minaccia informatica può essere rilevata e bloccata da molte soluzioni di sicurezza, tra cui Norton 360 Premium, attualmente in offerta (sconto 57%).
Hello XD: backdoor nascosta nel codice
Hello XD è stato scoperto per la prima volta a fine novembre 2021. Per il file eseguibile viene utilizzato il logo di ClamAV, quindi gli utenti potrebbero supporre che si tratta del noto antivirus open source. Subito dopo l’esecuzione, il ransomware elimina tutte le copie shadow per evitare il recupero dei file dal backup e inizia a cifrare i file, aggiungendo l’estensione .hello
.
In ogni directory viene quindi copiato un file di testo che fornisce le istruzioni su come effettuare il pagamento del riscatto. A differenza di altri gruppi, Hello XD non usa un sito Tor. Le vittime devono utilizzare Tox, un sevizio di messaggistica istantanea P2P protetto dalla crittografia end-to-end.
Analizzando il codice, i ricercatori di Palo Alto Networks Unit 42 hanno scoperto che Hello XD deriva da Babuk/Babyk, quindi alcune caratteristiche sono simili. La vera novità è rappresentata dalla presenza di una variante di MicroBackdoor che consente di accedere al file system, caricare/scaricare file ed eseguire comandi.
Al momento, Hello XD non è molto diffuso, ma è sempre consigliata l’istallazione di una soluzione di sicurezza che può individuare gli attacchi ransomware.