Cyberthreat.id – Peneliti keamanan siber dari Unit 42 menemukan varian ransomware HelloXD mampu menginstall backdoor di mesin Windows dan Linux.

Dikutip dari Info Security Magazine, peneliti Unit 42 Daniel Bunce dan Doel Santos, mengatakan jika mereka pertama kali melihat HelloXD, keluarga ransomware melakukan serangan pemerasan ganda, pada November 2021.

Berdasarkan analisis sampel ransomware yang mereka temukan, kedua peneliti tersebut menyimpulkan bahwa kebingungan dan taktik eksekusi HelloXD berisi fungsionalitas inti yang sangat mirip dengan kode sumber Babuk/Babyk yang bocor. Mereka juga mengamati bahwa salah satu sampel menggunakan backdoor open-source bernama MicroBackdoor yang memungkinkan penyerang menelusuri sistem file, mengunggah dan mengunduh file, menjalankan perintah, dan menghapus jejak mereka dari sistem.

“Kami percaya ini mungkin dilakukan untuk memantau kemajuan ransomware dan mempertahankan pijakan tambahan dalam sistem yang disusupi,” tulis kedua peneliti dalam posting blog resmi Unit 42.

Para peneliti tersebut menjelaskan bahwa, analisis malware juga menyarankan HelloXD tidak memiliki situs kebocoran aktif. Selain itu, aktor jahat di balik malware lebih memilih negosiasi dengan korban melalui obrolan Tox dan platform messenger berbasis bawang.

Sementara itu, dalam hal atribusi, Bunce dan Santos mengatakan mereka menemukan alamat IP yang disematkan dalam sampel malware yang biasanya dikaitkan dengan aktor ancaman dan pengembang x4k, juga dikenal sebagai L4ckyguy, unKn0wn, unk0w, _unkn0wn, dan x4kme.

“Kami mengamati email awal yang ditautkan ke akun GitHub[...], serta berbagai forum termasuk XSS, forum peretasan berbahasa Rusia yang dibuat untuk berbagi pengetahuan tentang eksploitasi, kerentanan, malware, dan penetrasi jaringan,” kata peneliti tersebut.

Kedua peneliti Unit 42 itu menyimpulkan posting mereka dengan memperingatkan bahwa sementara HelloXD adalah keluarga ransomware pada tahap awal. Namun mereka memang memiliki tekad kuat untuk mempengaruhi organisasi. Mereka juga meyakini, operator dibalik ransomware tersebut akan berekspansi ke bisnis ransomware untuk memanfaatkan beberapa keuntungan yang dibuat oleh kelompok ransomware lain.

“Ransomware adalah operasi yang menguntungkan jika dilakukan dengan benar. Unit 42 telah mengamati permintaan tebusan dan pembayaran rata-rata naik dalam Laporan Ancaman Ransomware terbaru” tutup keduanya.