Les systèmes Windows et Linux sont ciblés par une variante de ransomware appelée HelloXD, les infections impliquant également le déploiement d’une porte dérobée pour faciliter l’accès à distance persistant aux hôtes infectés.
“Contrairement à d’autres groupes de ransomwares, cette famille de ransomwares n’a pas de site de fuite actif ; à la place, elle préfère diriger la victime touchée vers des négociations via Chat toxicomane et les instances de messagerie basées sur l’oignon », Daniel Bunce et Doel Santos, chercheurs en sécurité de l’unité 42 de Palo Alto Networks, a dit dans une nouvelle rédaction.
BonjourXD a fait surface dans la nature le 30 novembre 2021 et est basé sur le code divulgué de Babuk, qui était publié sur un forum russophone sur la cybercriminalité en septembre 2021.
La famille des rançongiciels ne fait pas exception à la norme dans la mesure où les opérateurs suivent l’approche éprouvée de double extorsion d’exiger des paiements en crypto-monnaie en exfiltrant les données sensibles d’une victime en plus de les chiffrer et de menacer de rendre publiques les informations.
L’implant en question, nommé Micro porte dérobéeest un logiciel malveillant open source utilisé pour les communications de commande et de contrôle (C2), avec son développeur Dmytro Oleksiuk appel c’est “une chose vraiment minimaliste avec toutes les fonctionnalités de base en moins de 5 000 lignes de code”.

Notamment, différentes variantes de l’implant ont été adoptées par l’acteur menaçant biélorusse surnommé Ghostwriter (alias UNC1151) dans son cyber-opérations contre les organisations étatiques ukrainiennes en mars 2022.
Les fonctionnalités de MicroBackdoor permettent à un attaquant de parcourir le système de fichiers, de charger et de télécharger des fichiers, d’exécuter des commandes et d’effacer les preuves de sa présence sur les machines compromises. On soupçonne que le déploiement de la porte dérobée est effectué pour “surveiller la progression du ransomware”.
L’unité 42 a déclaré avoir lié le développeur russe probable derrière HelloXD – qui utilise les alias en ligne x4k, L4ckyguy, unKn0wn, unk0w, _unkn0wn et x4kme – à d’autres activités malveillantes telles que la vente d’exploits de preuve de concept (PoC) et Kali personnalisé Distributions Linux en reconstituant le parcours numérique de l’acteur.
“x4k a une présence en ligne très solide, ce qui nous a permis de découvrir une grande partie de son activité au cours de ces deux dernières années”, ont déclaré les chercheurs. “Cet acteur de la menace n’a pas fait grand-chose pour cacher les activités malveillantes et va probablement continuer ce comportement.”
Les résultats proviennent d’une nouvelle étude d’IBM X-Force révélé que la durée moyenne d’une attaque de ransomware d’entreprise – c’est-à-dire le temps entre l’accès initial et le déploiement du ransomware – a réduit de 94,34 % entre 2019 et 2021, passant de plus de deux mois à seulement 3,85 jours.
Les tendances à la vitesse et à l’efficacité accrues de l’écosystème des rançongiciels en tant que service (RaaS) ont été attribuées au rôle central joué par les courtiers d’accès initiaux (IAB) pour obtenir l’accès aux réseaux des victimes, puis vendre l’accès aux affiliés, qui, à leur tour, abuser de la prise de pied pour déployer des charges utiles de ransomware.
“L’achat d’un accès peut réduire considérablement le temps nécessaire aux opérateurs de ransomwares pour mener une attaque en permettant la reconnaissance des systèmes et l’identification des données clés plus tôt et plus facilement”, Intel 471 a dit dans un rapport soulignant les relations de travail étroites entre les IAB et les équipes de ransomwares.
“De plus, à mesure que les relations se renforcent, les groupes de rançongiciels peuvent identifier une victime qu’ils souhaitent cibler et le marchand d’accès peut leur fournir l’accès une fois qu’il est disponible.”



