Los sistemas Windows y Linux están siendo atacados por una variante de ransomware llamada HelloXD, y las infecciones también implican la implementación de una puerta trasera para facilitar el acceso remoto persistente a los hosts infectados.
«A diferencia de otros grupos de ransomware, esta familia de ransomware no tiene un sitio de fuga activo; en su lugar, prefiere dirigir a la víctima afectada a las negociaciones a través de charla toxicológica e instancias de mensajería basadas en cebolla», Daniel Bunce y Doel Santos, investigadores de seguridad de Palo Alto Networks Unit 42, dijo en un nuevo escrito.
HolaXD apareció en la naturaleza el 30 de noviembre de 2021 y se basa en el código filtrado de Babuk, que fue publicado en un foro sobre ciberdelincuencia en ruso en septiembre de 2021.
La familia de ransomware no es una excepción a la norma en el sentido de que los operadores siguen el enfoque probado de doble extorsión para exigir pagos en criptomoneda extrayendo los datos confidenciales de una víctima, además de cifrarlos y amenazar con publicar la información.
El implante en cuestión, llamado micropuerta traseraes un malware de código abierto que se usa para comunicaciones de comando y control (C2), con su desarrollador Dmytro Oleksiuk vocación es una «cosa realmente minimalista con todas las características básicas en menos de 5,000 líneas de código».
En particular, el actor de amenazas bielorruso denominado Ghostwriter (también conocido como UNC1151) adoptó diferentes variantes del implante en su operaciones cibernéticas contra organizaciones estatales ucranianas en marzo de 2022.
Las características de MicroBackdoor permiten a un atacante explorar el sistema de archivos, cargar y descargar archivos, ejecutar comandos y borrar evidencia de su presencia de las máquinas comprometidas. Se sospecha que el despliegue de la puerta trasera se lleva a cabo para «monitorear el progreso del ransomware».
Unit 42 dijo que vinculó al probable desarrollador ruso detrás de HelloXD, que utiliza los alias en línea x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn y x4kme, con otras actividades maliciosas como la venta de exploits de prueba de concepto (PoC) y Kali personalizado. Distribuciones de Linux reconstruyendo el rastro digital del actor.
«x4k tiene una presencia en línea muy sólida, lo que nos ha permitido descubrir gran parte de su actividad en estos dos últimos años», dijeron los investigadores. «Este actor de amenazas ha hecho poco para ocultar la actividad maliciosa y probablemente continuará con este comportamiento».
Los hallazgos provienen de un nuevo estudio de IBM X-Force reveló que la duración promedio de un ataque de ransomware empresarial, es decir, el tiempo entre el acceso inicial y la implementación del ransomware, se redujo un 94,34 % entre 2019 y 2021 de más de dos meses a solo 3,85 días.
Las tendencias de mayor velocidad y eficiencia en el ecosistema de ransomware como servicio (RaaS) se han atribuido al papel fundamental que desempeñan los intermediarios de acceso inicial (IAB) para obtener acceso a las redes de las víctimas y luego vender el acceso a los afiliados, quienes, a su vez, abusar del punto de apoyo para implementar cargas útiles de ransomware.
«La compra de acceso puede reducir significativamente la cantidad de tiempo que tardan los operadores de ransomware en realizar un ataque al permitir el reconocimiento de sistemas y la identificación de datos clave antes y con mayor facilidad», Intel 471 dijo en un informe que destaca las estrechas relaciones de trabajo entre los IAB y los equipos de ransomware.
«Además, a medida que las relaciones se fortalecen, los grupos de ransomware pueden identificar a una víctima a la que desean apuntar y el comerciante de acceso podría proporcionarles el acceso una vez que esté disponible».