Лаборатория Cyble Research and Intelligence Labs (CRIL) обнаружила новую версию вымогательской программы HexaLocker, которая включает ряд значительных обновлений и расширенные функциональные возможности.
Hexalocker Ransomware
HexaLocker V2, запущенный в середине 2024 года, использует механизм сохранения для обеспечения продолжения выполнения после перезагрузки системы. Он также загружает программу Skuld Stealer, которая сначала извлекает конфиденциальную информацию с компьютера жертвы, а затем шифрует файлы. Это отличается от предыдущей версии HexaLocker, которая просто шифровала файлы.
HexaLocker V2 использует набор передовых алгоритмов шифрования, включая AES-GCM для шифрования строк, Argon2 для создания ключей и ChaCha20 для шифрования файлов. Это делает расшифровку данных гораздо сложнее для экспертов по кибербезопасности. В новой версии HexaLocker также изменен метод передачи данных, и он теперь использует уникальный хеш вместо прежнего метода TOXID.
Одна из ключевых новых особенностей HexaLocker V2 - использование программы Skuld Stealer. Skuld Stealer является открытым исходным кодом и предназначен для кражи конфиденциальных данных с компьютеров, включая информацию из браузеров, приложений для обмена сообщениями и криптовалютные кошельки. В данной версии HexaLocker V2, Skuld Stealer используется для сбора данных перед шифрованием файлов. Программа может собирать информацию, такую как куки, сохраненные данные кредитных карт, историю посещений и данные для входа в систему. Исследователи отмечают, что HexaLocker V2 включает только модуль браузера из Skuld Stealer, который работает с браузерами на основе Chromium и Gecko.
HexaLocker V2 использует методы обфускации, чтобы уклониться от обнаружения системами безопасности. URL-адреса, пути к файлам и другие строки генерируются на этапе выполнения программы с использованием многоуровневой расшифровки AES-GCM, что делает их сложными для обнаружения. В предыдущей версии все строки были статическими и легче распознавались.
Обнаружение HexaLocker V2 является тревожным сигналом для пользователей, так как новые функции и улучшенные методы шифрования делают его более опасным и трудным для борьбы. Рекомендуется принимать все необходимые меры предосторожности, чтобы защитить свои системы от атак вымогателей, в том числе регулярное обновление антивирусных программ, установка обновлений системы и регулярное создание резервных копий данных.
Indicators of Compromise
URLs
- https://hexalocker.xyz/receive.php
- https://hexalocker.xyz/SGDYSRE67T43TVD6E5RD.exe
- https://hexalocker.xyz/upload.php
SHA256
- 0347aa0b42253ed46fdb4b95e7ffafa40ba5e249dfb5c8c09119f327a1b4795a
- 28c1ec286b178fe06448b25790ae4a0f60ea1647a4bb53fb2ee7de506333b960
- 8b347bb90c9135c185040ef5fdb87eb5cca821060f716755471a637c350988d8
- d0d8df16331b16f9437c0b488d5a89a4c2f09a84dec4da4bc13eab15aded2e05