СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.01.2025
#Dev#ИБ#Инфра

HexaLocker V2: Новая угроза с двойным вымогательством

HexaLocker V2: Новая угроза с двойным вымогательством

Изображение: cyble.com

Программа-вымогатель HexaLocker снова на слуху — на этот раз в виде обновлённой версии, получившей название HexaLocker V2. Она была впервые обнаружена в середине 2024 года и уже продемонстрировала множество улучшений, особенно в области функционала и методов атак.

Улучшенный функционал HexaLocker V2

Одним из ключевых нововведений HexaLocker V2 стал механизм сохранения, который изменяет ключи реестра, тем самым гарантируя, что программа будет продолжать функционировать даже после перезагрузки системы.

Основные улучшения включают:

  • Интеграция с Skuld Stealer — инструментом для извлечения конфиденциальной информации.
  • Метод двойного вымогательства, позволяющий эксфильтровать файлы жертвы перед шифрованием.
  • Использование передовых алгоритмов шифрования: AES-GCM для строк, Argon2 для ключей и ChaCha20 для шифрования файлов.

Обновленные методы коммуникации

Одним из заметных изменений является замена протокола TOXID уникальным хэшем, что позволяет жертвам более эффективно взаимодействовать с сайтами хакеров.

Анонс и последствия

9 августа группа HexaLocker анонсировала новую версию программы-вымогателя для Windows в своём Telegram-канале, заявив о наличии участников из известных групп, таких как LAPSUS$. В результате этого анонса исследователи в области кибербезопасности провели анализ и опубликовали свои выводы.

В октябре на платформе X стало известно о том, что администратор HexaLocker решил прекратить работу и выставить исходный код и веб-панель программы на продажу. Однако в декабре появились сообщения о восстановлении программы, показывающие признаки продолжающейся активности и развития, включая:

  • Более надежные алгоритмы шифрования.
  • Улучшенные пароли для шифрования.
  • Новые механизмы сохранения.

Технические детали и возможности

По данным Cyble Research and Intelligence Labs (CRIL), новая версия программы-вымогателя копирует себя в каталог %appdata%, устанавливает постоянство с помощью записи run и шифрует файлы, присваивая им расширение .HexaLockerv2.

Функции Skuld stealer позволяют программе собирать конфиденциальные данные пользователей перед шифрованием. Украденные данные архивируются и отправляются на удалённый сервер.

Новые файлы создаются с расширением .HexaLockerV2, а исходные файлы удаляются. Интеграция с Skuld stealer демонстрирует значительный прогресс и эволюцию группы HexaLocker.

Заключение

Разработанная на языке Go, HexaLocker V2 представляет собой постоянную угрозу для целевых систем. Эффективность языка Go позволяет избежать обнаружения решениями endpoint security.

Доступно для скачивания правило Yara для обнаружения HexaLocker версии 2, что поможет выявить и нейтрализовать действия хакеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу. Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: