Windows- und Linux-Systeme werden von einer Ransomware-Variante namens HelloXD angegriffen. Die Infektionen beinhalten auch die Bereitstellung einer Backdoor, die einen dauerhaften Fernzugriff auf infizierte Hosts ermöglicht.
„Im Gegensatz zu anderen Ransomware-Gruppen verfügt diese Ransomware-Familie nicht über eine aktive Leck-Site; stattdessen zieht sie es vor, die betroffenen Opfer zu Verhandlungen über Tox-Chat und Onion-basierte Messenger-Instanzen zu leiten“, so Daniel Bunce und Doel Santos, Sicherheitsforscher von Palo Alto Networks Unit 42, in einem neuen Bericht.
HelloXD tauchte am 30. November 2021 in der freien Wildbahn auf und basiert auf dem geleakten Code von Babuk, der im September 2021 in einem russischsprachigen Cybercrime-Forum veröffentlicht wurde.
Die Ransomware-Familie bildet keine Ausnahme von der Norm, da die Betreiber den bewährten Ansatz der doppelten Erpressung verfolgen, um Zahlungen in Kryptowährung zu verlangen, indem sie die sensiblen Daten eines Opfers nicht nur verschlüsseln, sondern auch exfiltrieren und damit drohen, die Informationen zu veröffentlichen.
Bei dem fraglichen Implantat mit dem Namen MicroBackdoor handelt es sich um eine Open-Source-Malware, die für die Command-and-Control (C2)-Kommunikation verwendet wird. Ihr Entwickler Dmytro Oleksiuk bezeichnete sie als „eine wirklich minimalistische Sache mit allen grundlegenden Funktionen in weniger als 5.000 Codezeilen“.
Verschiedene Varianten des Implantats wurden von dem weißrussischen Bedrohungsakteur Ghostwriter (alias UNC1151) bei seinen Cyberoperationen gegen ukrainische staatliche Organisationen im März 2022 eingesetzt.
Die Funktionen der MicroBackdoor ermöglichen es einem Angreifer, das Dateisystem zu durchsuchen, Dateien hoch- und herunterzuladen, Befehle auszuführen und Beweise für seine Anwesenheit auf den kompromittierten Rechnern zu löschen. Es wird vermutet, dass die Backdoor eingesetzt wird, um „den Fortschritt der Ransomware zu überwachen“.
Unit 42 sagte, dass es den wahrscheinlich russischen Entwickler hinter HelloXD – der unter den Online-Pseudonymen x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn und x4kme bekannt ist – mit weiteren bösartigen Aktivitäten wie dem Verkauf von Proof-of-Concept (PoC)-Exploits und benutzerdefinierten Kali-Linux-Distributionen in Verbindung bringt, indem es die digitale Spur des Akteurs zusammensetzt.
„x4k hat eine sehr solide Online-Präsenz, die es uns ermöglicht hat, einen Großteil seiner Aktivitäten in den letzten zwei Jahren aufzudecken“, so die Forscher. „Dieser Bedrohungsakteur hat wenig getan, um seine bösartigen Aktivitäten zu verbergen, und wird dieses Verhalten wahrscheinlich fortsetzen.
Die Ergebnisse kommen zu einem Zeitpunkt, an dem eine neue Studie von IBM X-Force zeigt, dass die durchschnittliche Dauer eines Ransomware-Angriffs auf Unternehmen – d. h. die Zeit zwischen dem ersten Zugriff und dem Einsatz der Ransomware – zwischen 2019 und 2021 um 94,34 % von über zwei Monaten auf nur 3,85 Tage gesunken ist.
Die zunehmende Geschwindigkeit und Effizienz im Ransomware-as-a-Service (RaaS)-Ökosystem wird auf die zentrale Rolle der Initial Access Broker (IABs) zurückgeführt, die sich Zugang zu den Netzwerken der Opfer verschaffen und diesen Zugang dann an Partnerunternehmen verkaufen, die ihrerseits diese Position zur Verbreitung von Ransomware nutzen.
„Der Kauf von Zugang kann die Zeit, die Ransomware-Betreiber zur Durchführung eines Angriffs benötigen, erheblich verkürzen, da er die Erkundung von Systemen und die Identifizierung von Schlüsseldaten früher und einfacher ermöglicht“, so Intel 471 in einem Bericht, der die engen Arbeitsbeziehungen zwischen IABs und Ransomware-Crews aufzeigt.
„Wenn die Beziehungen enger werden, können Ransomware-Gruppen außerdem ein Opfer identifizieren, das sie ins Visier nehmen wollen, und der Access-Händler könnte ihnen den Zugang verschaffen, sobald er verfügbar ist.“