Les systèmes Windows et Linux sont ciblés par une variante de ransomware appelée HelloXD, les infections impliquant également le déploiement d’une porte dérobée pour faciliter l’accès à distance persistant aux hôtes infectés. « Contrairement à d’autres groupes de ransomwares, cette famille de ransomwares n’a pas de site de fuite actif ; à la place, elle préfère diriger la victime concernée vers des négociations via le chat Tox et des instances de messagerie basées sur l’oignon », ont déclaré Daniel Bunce et Doel Santos, chercheurs en sécurité de Palo Alto. Networks Unit 42, a déclaré dans un nouvel article. HelloXD a fait surface dans la nature le 30 novembre 2021 et est basé sur le code divulgué de Babuk, qui a été publié sur un forum de cybercriminalité en langue russe en septembre 2021. La famille des ransomwares ne fait pas exception à la norme dans la mesure où les opérateurs suivent l’approche éprouvée de la double extorsion pour exiger des paiements en crypto-monnaie en exfiltrant les données sensibles d’une victime en plus de les chiffrer et de menacer de rendre publiques les informations. L’implant en question, nommé MicroBackdoor, est un logiciel malveillant open source utilisé pour les communications de commande et de contrôle (C2), son développeur Dmytro Oleksiuk le qualifiant de « chose vraiment minimaliste avec toutes les fonctionnalités de base en moins de 5 000 lignes ». de codes. »

Notamment, différentes variantes de l’implant ont été adoptées par l’acteur de la menace biélorusse surnommé Ghostwriter (alias UNC1151) dans ses cyber-opérations contre les organisations étatiques ukrainiennes en mars 2022. Les fonctionnalités de MicroBackdoor permettent à un attaquant de parcourir le système de fichiers, de charger et de télécharger des fichiers, d’exécuter des commandes et d’effacer les preuves de sa présence sur les machines compromises. On soupçonne que le déploiement de la porte dérobée est effectué pour « surveiller la progression du ransomware ». L’unité 42 a déclaré avoir lié le développeur russe probable derrière HelloXD – qui utilise les alias en ligne x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn et x4kme – à d’autres activités malveillantes telles que la vente d’exploits de preuve de concept (PoC) et Kali personnalisé Distributions Linux en reconstituant le parcours numérique de l’acteur. « x4k a une présence en ligne très solide, ce qui nous a permis de découvrir une grande partie de son activité au cours de ces deux dernières années », ont déclaré les chercheurs. « Cet acteur de la menace n’a pas fait grand-chose pour cacher les activités malveillantes et va probablement continuer ce comportement. » Les résultats viennent alors qu’une nouvelle étude d’IBM X-Force a révélé que la durée moyenne d’une attaque de ransomware d’entreprise – c’est-à-dire le temps entre l’accès initial et le déploiement du ransomware – a réduit de 94,34 % entre 2019 et 2021, passant de plus de deux mois à seulement 3,85 jours. . Les tendances à la vitesse et à l’efficacité accrues de l’écosystème des rançongiciels en tant que service (RaaS) ont été attribuées au rôle central joué par les courtiers d’accès initiaux (IAB) pour obtenir l’accès aux réseaux des victimes, puis vendre l’accès aux affiliés, qui, à leur tour, abuser de la prise de pied pour déployer des charges utiles de ransomware. « L’achat d’un accès peut réduire considérablement le temps nécessaire aux opérateurs de ransomwares pour mener une attaque en permettant la reconnaissance des systèmes et l’identification des données clés plus tôt et plus facilement », a déclaré Intel 471 dans un rapport soulignant les relations de travail étroites entre les IAB et équipes de rançongiciels. « De plus, à mesure que les relations se renforcent, les groupes de rançongiciels peuvent identifier une victime qu’ils souhaitent cibler et le marchand d’accès peut leur fournir l’accès une fois qu’il est disponible. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *