Palo Alto Networksの脅威インテリジェンスチームであるUnit 42は6月10日(米国時間)、「Exposing HelloXD Ransomware and x4k」において、ランサムウェア「HelloXD」の複数の亜種がWindowsおよびLinuxを標的としていることを伝えた。このランサムウェアファミリーに感染したホストはシステムにバックドアを配置されてしまうと報告されており注意が必要。

  • Exposing HelloXD Ransomware and x4k

    Exposing HelloXD Ransomware and x4k

「HelloXD」は、2021年11月末に登場したランサムウェア。ロシアのサイバー犯罪フォーラムにリークされた「Babuk(またはBabyk)」と呼ばれるランサムウェアに似たソースコードが使われているという特徴を持つ。

「HelloXD」ランサムウェアファミリーは他のランサムウェアと異なりリークサイトを持たない。代わりにToxチャットやOnionベースのメッセンジャーに誘導して身代金を要求してくる。感染したシステムには「MicroBackdoor」に似たバックドアが仕込まれる。このバックドアによってサイバー犯罪者が容易にシステムにアクセスできてしまうとされている。

Unit 42はこのランサムウェアファミリーに目新たらしい機能はなかったと結論づけている。また、調査の過程でx4k(またはL4ckyguy、unKn0wn、unk0w、_unkn0wn、x4kme)というオンラインネームを使用しているサイバー犯罪者がこれらランサムウェアファミリーの開発者である可能性が高いと指摘。この人物はさまざまなハッキングフォーラムで知られており、ロシア系ではないかと推測されている。

Unit 42は、x4kがほかのランサムウェアグループが行っているビジネスに乗っかる形でランサムウェアビジネスに進出していると結論付けている。ランサムウェアが目的どおりに機能したら、その使い手であるサイバー犯罪者が巨万の富を得ることができる。現に、Unit 42は先日発表したレポートにおいて、身代金要求額と平均支払額が上昇していることを報告している (参考「2022 Unit 42 Ransomware Threat Report Highlights: Ransomware Remains a Headliner」)。