Pesquisadores de segurança cibernética revelaram uma nova versão de uma cepa de ransomware chamada HardBit, que vem com novas técnicas de ofuscação para impedir esforços de análise.
“Diferentemente das versões anteriores, o grupo HardBit Ransomware aprimorou a versão 4.0 com proteção por senha”, disseram os pesquisadores da Cybereason, Kotaro Ogino e Koshi Oyama, em uma análise.
“A frase-senha precisa ser fornecida durante o tempo de execução para que o ransomware seja executado corretamente. Ofuscação adicional impede que pesquisadores de segurança analisem o malware.”
O HardBit, que surgiu em outubro de 2022, é um agente de ameaças com motivação financeira que, semelhante a outros grupos de ransomware, opera com o objetivo de gerar receitas ilícitas por meio de táticas de dupla extorsão.
O que faz o grupo de ameaças se destacar é que ele não opera um website de vazamento de dados e, em vez disso, pressiona as vítimas a pagarem, ameaçando conduzir ataques adicionais no futuro. Seu modo primário de comunicação ocorre pelo serviço de mensagens instantâneas Tox.
O vetor de acesso inicial exato usado para violar ambientes de destino não está claro no momento, embora se suspeite que envolva força bruta em serviços RDP e SMB.
As etapas de acompanhamento envolvem a execução de roubo de credenciais usando ferramentas como Mimikatz e NLBrute, e descoberta de rede por meio de utilitários como Superior Port Scanner, permitindo que os invasores se movam lateralmente pela rede por meio de RDP.
“Depois de comprometer o host da vítima, a carga útil do ransomware HardBit é executada e realiza uma série de etapas que reduzem a postura de segurança do host antes de criptografar os dados da vítima”, observou a Varonis em seu artigo técnico sobre o HardBit 2.0 no ano passado.
A criptografia dos hosts das vítimas é realizada pela implantação do HardBit, que é entregue usando um vírus infector de arquivo conhecido chamado Neshta. Vale a pena notar que o Neshta foi usado por agentes de ameaças no passado para também distribuir o ransomware Large Head.
O HardBit também foi projetado para desabilitar o Microsoft Defender Antivirus e encerrar processos e serviços para evitar a detecção potencial de suas atividades e inibir a recuperação do sistema. Ele então criptografa arquivos de interesse, atualiza seus ícones, altera o papel de parede da área de trabalho e altera o rótulo do quantity do sistema com a string “Locked by HardBit”.
Além de ser oferecido aos operadores na forma de versões de linha de comando ou GUI, o ransomware requer um ID de autorização para ser executado com sucesso. O sabor GUI também suporta um modo wiper para apagar arquivos irrevogavelmente e limpar o disco.
“Assim que os agentes da ameaça inserem com sucesso o ID de autorização decodificado, o HardBit solicita uma chave de criptografia para criptografar os arquivos nas máquinas alvo e prossegue com o procedimento de ransomware”, observou a Cybereason.
“O recurso do modo Wiper precisa ser habilitado pelo grupo HardBit Ransomware e o recurso é provavelmente um recurso adicional que os operadores precisam comprar. Se os operadores precisarem do modo Wiper, eles precisarão implantar laborious.txt, um arquivo de configuração opcional do binário HardBit que contém ID de autorização para habilitar o modo Wiper.”
O desenvolvimento ocorre no momento em que a empresa de segurança cibernética Trellix detalhou um ataque de ransomware CACTUS que foi observado explorando falhas de segurança no Ivanti Sentry (CVE-2023-38035) para instalar o malware de criptografia de arquivos usando ferramentas legítimas de área de trabalho remota, como AnyDesk e Splashtop.
A atividade de ransomware continua a “permanecer em uma tendência ascendente” em 2024, com os atores de ransomware reivindicando 962 ataques no primeiro trimestre de 2024, acima dos 886 ataques relatados ano a ano. LockBit, Akira e BlackSuit surgiram como as famílias de ransomware mais prevalentes durante o período, disse a Symantec.
De acordo com o relatório de Resposta a Incidentes da Unidade 42 de 2024 da Palo Alto Networks, o tempo médio que leva para ir do comprometimento à exfiltração de dados despencou de nove dias em 2021 para dois dias no ano passado. Em quase metade (45%) dos casos deste ano, foi pouco menos de 24 horas.
“Evidências disponíveis sugerem que a exploração de vulnerabilidades conhecidas em aplicativos voltados ao público continua sendo o principal vetor para ataques de ransomware”, disse a empresa de propriedade da Broadcom. “Convey Your Personal Susceptible Driver (BYOVD) continua sendo uma tática favorecida entre grupos de ransomware, particularmente como um meio de desabilitar soluções de segurança.”
