La situazione può solo peggiorare. I sistemi Windows e Linux sono nuovamente presi di mira da una variante ransomware chiamata HelloXD. Non si tratta però di un semplice ransomware: le infezioni coinvolgono anche l’installazione e attivazione di una backdoor nascosta per facilitare l’accesso remoto persistente agli host infetti da parte di malintenzionati.
Per chi non lo sapesse, lo scopo dei ransomware è quello di agire criptando file e dati utente, anche al livello dell’intero sistema/disco. Questo permette ai criminali di richiedere un riscatto, con la promessa di restituire del tutto alla vittima l’accesso ai dati colpiti.
Di recente però, i ricercatori di Palo Alto Networks Unit 42 hanno scoperto un intensificarsi dell’attività di un particolare ransomware noto come Hello XD. In particolare, si tratta di una versione caratterizzata da una crittografia ancora più efficace delle precedenti. Questo malware è operativo già da novembre 2021 e sembra essere basato sul codice sorgente di Babuk, che è stato pubblicato su un forum sulla criminalità informatica in lingua russa, e protagonista di alcuni casi di doppia estorsione (dove con doppia estorsione intendiamo crittografia e furto di dati con estorsione).
Tra gli aspetti più preoccupanti di Hello XD troviamo la capacità da parte del ransomware di rilasciare una backdoor sul sistema colpito, durante le operazioni di crittografia. Infine, tenta di disattivare del tutto la possibilità di ripristinare il sistema ad uno stato precedente, e infine criptare i file con estensione .hello.
La backdoor utilizzata è open source, ed è disponibile su GitHub. Si tratta di MicroBackdoor: tra le feature troviamo la possibilità da parte di un utente malintenzionato di esplorare il file system, caricare e scaricare file, eseguire comandi e cancellare le prove della sua presenza dalle macchine di compromissione. Si sospetta che l’implementazione della backdoor avvenga per “monitorare l’avanzamento del ransomware”.
Il team di ricercatori pare aver collegato il ransomware a uno sviluppatore russo dietro HelloXD, che va sotto gli alias online di x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn e x4kme, ad ulteriori attività dannose come la vendita di exploit proof-of-concept (PoC):
“x4k ha una presenza online molto solida, che ci ha permesso di scoprire gran parte della sua attività in questi ultimi due anni. Fortunatamente, ha fatto poco per nascondere le sue attività dannose e probabilmente continuerà con questo comportamento”.
Un ransomware è un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto, che si traduce in “ransom” in inglese, da pagare per rimuovere la limitazione. Inizialmente diffusi in Russia, gli attacchi con ransomware sono ora perpetrati in tutto il mondo e sono tra gli attacchi più fruttuosi che un gruppo di criminali possa mettere in atto, nonchè i più utilizzati.
Nel giugno 2013, la casa software McAfee, specializzata in software di sicurezza, ha rilasciato dei dati che mostravano che nei primi tre mesi del 2013 erano stati registrati 250000 diversi tipi di ransomware, più del doppio del numero ottenuto nei primi tre mesi dell’anno precedente. CryptoLocker, un worm ransomware apparso alla fine del 2013, ha ottenuto circa 3 milioni di dollari prima di essere reso innocuo dalle autorità.
Il primo ransomware noto fu il trojan AIDS, noto anche come “PC Cyborg”, scritto nel 1989 dal biologo Joseph Popp, che eseguiva un payload il quale mostrava all’utente un messaggio in cui si diceva che la licenza di un qualche software installato era scaduta, criptava i file dell’hard disk e obbligava l’utente a pagare 189 dollari alla “PC Cyborg Corporation” per sbloccare il sistema. Popp fu dichiarato incapace di intendere e di volere e non fu processato, ma promise di devolvere i proventi del malware alla ricerca per la cura dell’AIDS.