Sistem Windows dan Linux sedang ditargetkan oleh varian ransomware yang disebut HelloXD, dengan infeksi juga melibatkan penyebaran pintu belakang untuk memfasilitasi akses jarak jauh yang terus-menerus ke host yang terinfeksi.
“Tidak seperti grup ransomware lainnya, keluarga ransomware ini tidak memiliki situs kebocoran aktif; melainkan lebih suka mengarahkan korban yang terkena dampak ke negosiasi melalui obrolan Tox dan instance messenger berbasis bawang,” Daniel Bunce dan Doel Santos, peneliti keamanan dari Palo Alto Networks Unit 42, mengatakan dalam sebuah tulisan baru.
HaloXD muncul di alam liar pada 30 November 2021, dan didasarkan pada kode yang bocor dari Babuk, yang diterbitkan di forum cybercrime berbahasa Rusia pada September 2021.
Keluarga ransomware tidak terkecuali pada norma di mana operator mengikuti pendekatan pemerasan ganda yang telah dicoba dan diuji untuk menuntut pembayaran cryptocurrency dengan mengekstraksi data sensitif korban selain mengenkripsinya dan mengancam untuk mempublikasikan informasi.
Implan yang dimaksud, bernama MicroBackdoor, adalah malware open-source yang digunakan untuk komunikasi command-and-control (C2), dengan pengembangnya Dmytro Oleksiuk menyebutnya sebagai “hal yang sangat minimalis dengan semua fitur dasar dalam waktu kurang dari 5.000 baris. dari kode.”
Khususnya, berbagai varian implan diadopsi oleh aktor ancaman Belarusia yang dijuluki Ghostwriter (alias UNC1151) dalam operasi sibernya terhadap organisasi negara Ukraina pada Maret 2022.
Fitur MicroBackdoor memungkinkan penyerang untuk menelusuri sistem file, mengunggah dan mengunduh file, menjalankan perintah, dan menghapus bukti keberadaannya dari mesin kompromi. Diduga penyebaran pintu belakang dilakukan untuk “memantau kemajuan ransomware.”
Unit 42 mengatakan mereka menghubungkan kemungkinan pengembang Rusia di belakang HelloXD — yang menggunakan alias online x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn, dan x4kme — ke aktivitas jahat lebih lanjut seperti menjual eksploitasi proof-of-concept (PoC) dan Kali kustom Distribusi Linux dengan menyatukan jejak digital aktor.
“x4k memiliki kehadiran online yang sangat solid, yang memungkinkan kami mengungkap banyak aktivitasnya dalam dua tahun terakhir ini,” kata para peneliti. “Aktor ancaman ini tidak banyak berbuat untuk menyembunyikan aktivitas jahat, dan mungkin akan melanjutkan perilaku ini.”
Temuan ini muncul saat studi baru dari IBM X-Force mengungkapkan bahwa durasi rata-rata serangan ransomware perusahaan — yaitu, waktu antara akses awal dan penyebaran ransomware — berkurang 94,34% antara 2019 dan 2021 dari lebih dari dua bulan menjadi hanya 3,85 hari. .
Tren kecepatan dan efisiensi yang meningkat dalam ekosistem ransomware-as-a-service (RaaS) telah dikaitkan dengan peran penting yang dimainkan oleh broker akses awal (IAB) dalam memperoleh akses ke jaringan korban dan kemudian menjual akses ke afiliasi, yang, pada gilirannya, menyalahgunakan pijakan untuk menyebarkan muatan ransomware.
“Pembelian akses dapat secara signifikan mengurangi jumlah waktu yang dibutuhkan operator ransomware untuk melakukan serangan dengan mengaktifkan pengintaian sistem dan identifikasi data kunci lebih awal dan dengan lebih mudah,” kata Intel 471 dalam laporan yang menyoroti hubungan kerja yang erat antara IAB dan kru ransomware.
“Selain itu, saat hubungan menguat, kelompok ransomware dapat mengidentifikasi korban yang ingin mereka targetkan dan pedagang akses dapat memberi mereka akses setelah tersedia.”