Badacze zajmujący się cyberbezpieczeństwem opisali nowe wcielenie oprogramowania ransomware o nazwie HardBit, zawierające techniki zaciemniania kodu i ukrywania swojego działania. Grupa HardBit Ransomware wzbogaciła wersję 4.0 o ochronę za pomocą passphrase – stwierdzili analitycy z Cybereason.
Aby oprogramowanie HardBit 4.0 mogło zadziałać zgodnie z przeznaczeniem, należy podać hasło w czasie jego uruchamiania. Dodatkowe zaciemnianie utrudnia badaczom ds. bezpieczeństwa analizę złośliwego oprogramowania.
HardBit, które pojawiło się po raz pierwszy w październiku 2022 r., to ugrupowanie hakerskie o motywach finansowych, podobnie jak inne grupy zajmujące się ransomware działające w celu generowania nielegalnych przychodów poprzez taktykę podwójnego wymuszania. Tym, co wyróżnia tę grupę, jest to, że nie prowadzi witryny udostępniającej wycieki danych, a zamiast tego wywiera presję na ofiary, grożąc przeprowadzeniem dodatkowych ataków w przyszłości w razie odmowy zapłacenia okupu. Podstawowym sposobem komunikacji grupy jest komunikator Tox.
Dokładny początkowy wektor dostępu nie jest obecnie jasny, chociaż podejrzewa się, że obejmuje on usługi RDP i SMB skanowane metodą brute-force.
Kolejne kroki obejmują kradzież danych uwierzytelniających przy użyciu narzędzi takich jak Mimikatz i NLBrute oraz enumerację sieci za pomocą narzędzi typu Advanced Port Scanner, umożliwiającą atakującym boczne poruszanie się po sieci za pomocą protokołu RDP. Szyfrowanie odbywa się poprzez wdrożenie HardBit, dostarczanego przy użyciu znanego wirusa infekującego pliki o nazwie Neshta. Warto zauważyć, że w przeszłości Neshta była wykorzystywana przez cyberprzestępców także do dystrybucji oprogramowania ransomware Big Head.
HardBit ma też na celu wyłączenie programu antywirusowego Microsoft Defender oraz zakończenie procesów i usług, aby uniknąć potencjalnego wykrycia jego działań i uniemożliwić odzyskanie systemu. Następnie szyfruje interesujące pliki, aktualizuje ich ikony, zmienia tapetę pulpitu oraz etykietę woluminu systemu na ciąg znaków „Locked by HardBit”.
Oprócz tego, że jest oferowany operatorom w postaci wersji wiersza poleceń lub GUI, ransomware wymaga identyfikatora autoryzacji, aby mógł zostać pomyślnie wykonany. Wersja GUI dodatkowo obsługuje tryb wymazywania, który pozwala nieodwracalnie usunąć pliki i wyczyścić dysk. Funkcja ta musi zostać włączona przez grupę HardBit Ransomware, jeśli operator jest gotów za nią dodatkowo zapłacić. Wszystko wyzwalane jest za pomocą specjalnego klucza szyfrującego, który trzeba wprowadzić, żeby malware pokazał swoje prawdziwe oblicze.
Poniżej przedstawiamy jeszcze porównanie HardBit 4.0 ze starszymi wersjami.
Rozwój tego szkodliwego oprogramowania następuje po tym, jak firma Trellix zajmująca się bezpieczeństwem szczegółowo opisała atak ransomware CACTUS, wykorzystujący podatności Ivanti Sentry (CVE-2023-38035) w celu zainstalowania złośliwego oprogramowania szyfrującego pliki przy użyciu legalnych narzędzi do zdalnego pulpitu, takich jak AnyDesk i Splashtop.
W 2024 r. aktywność związana z oprogramowaniem ransomware w dalszym ciągu utrzymuje tendencję wzrostową, przy czym analitycy odnotowali 962 ataki w pierwszym kwartale 2024 r., w porównaniu z 886 atakami zgłoszonymi w ostatnim kwartale 2023. Symantec twierdzi, że LockBit, Akira i BlackSuit okazały się najpowszechniejszymi rodzinami oprogramowania ransomware w okresie analizy.
Według tegorocznego raportu Palo Alto Networks średni czas mijający od włamania do wycieku danych gwałtownie spadł z dziewięciu dni w 2021 r. do dwóch dni w zeszłym roku. W tym roku w prawie połowie (45%) przypadków były to niecałe 24 godziny!
Dostępne dowody sugerują, że wykorzystywanie znanych dziur w aplikacjach dostępnych publicznie pozostaje głównym wektorem ataków ransomware.