(https://i.postimg.cc/nrzJyZqT/Ransomware.png) (https://postimg.cc/bDKWn7C2)
La nueva versión (versión 4.0) del ransomware HardBit viene con la mejora de ofuscación binaria con protección de frase de contraseña.
El ransomware requiere que se ingrese la frase de contraseña en tiempo de ejecución para poder ejecutarse. Además, la ofuscación adicional complica el análisis de los investigadores de seguridad.
El grupo de ransomware HardBit ofrece su malware en versiones CLI y GUI. La versión GUI es más fácil de usar, lo que facilita la ejecución para operadores con menos habilidades técnicas. El método de entrega involucra el virus Neshta, siendo el propio ransomware un binario .NET. El malware se ofusca utilizando un empaquetador llamado Ryan-_-Borland_Protector Cracked v1.0, que es una versión personalizada del empaquetador .NET de código abierto ConfuserEx.
El grupo de ransomware HardBit apareció por primera vez en el panorama de amenazas en octubre de 2022, pero a diferencia de otras operaciones de ransomware, no utiliza un modelo de doble extorsión en este momento.
La pandilla amenaza a las víctimas con nuevos ataques si no se cumplen sus demandas de rescate. Una vez infectada la red de una organización, el grupo de ransomware HardBit indica a las víctimas que se comuniquen con ellas por correo electrónico o mediante la plataforma de mensajería instantánea Tox.
El grupo apareció en los titulares porque busca negociar con las víctimas para llegar a un acuerdo.
Para que a las víctimas les resulte imposible recuperar los archivos cifrados, el ransomware elimina el Servicio de instantáneas de volumen (VSS) utilizando el Administrador de control de servicios y el catálogo de utilidades de copia de seguridad de Windows junto con las instantáneas.
Los investigadores notaron que el malware cifra muchos archivos, lo que podría causar errores cuando se reinicia Windows. Para evitar problemas en el inicio sucesivo, el malware edita la configuración de inicio para habilitar la opción "ignorar cualquier falla" y deshabilitar la opción de recuperación.
Para evitar que Windows Defender Antivirus bloquee el proceso de ransomware, realiza varios cambios en el Registro de Windows para deshabilitar muchas funciones de Windows Defender (es decir, protección contra manipulaciones, capacidades anti-spyware, monitoreo de comportamiento en tiempo real, protección de acceso (de archivos) en tiempo real, y escaneo de procesos en tiempo real).
El ransomware logra persistencia copiando una versión en la carpeta "Inicio" de la víctima, si aún no está presente. El nombre del archivo ejecutable imita el archivo ejecutable del host de servicio legítimo, svchost.exe, para evitar la detección.
Aún se desconoce el método de acceso inicial utilizado por el grupo HardBit Ransomware; sin embargo, los expertos de Cybereason señalaron que sigue metodologías similares asociadas con otras operaciones de ransomware.
HardBit comparte varias similitudes con LockBit Ransomware, incluido el nombre del grupo, imágenes/iconos, fuentes y notas de rescate. En este momento, no está claro si existe un vínculo entre HardBit y LockBit; los expertos especulan que estas similitudes pueden ser parte de las tácticas de marketing de HardBit.
"Si bien el vector de ataque inicial aún no está confirmado al momento de escribir este artículo, Cybereason plantea la hipótesis de que los actores de la amenaza obtienen un punto de apoyo inicial en el entorno de la víctima a través de la fuerza bruta de un servicio RDP y SMB abierto. De hecho, el entorno observó múltiples fallos de inicio de sesión desde direcciones IP conocidas de fuerza bruta".
Los actores de amenazas emplean herramientas de robo de credenciales, como Mimikatz y la herramienta de fuerza bruta RDP NLBrute, en actividades de movimiento lateral. El ataque comienza implementando un archivo zip llamado 111.zip, que incluía un script BAT (!start.bat) y archivos binarios Mimikatz. Tras la ejecución, Mimikatz ejecutó el script !start.bat, generando un archivo de salida, Result.txt, con las credenciales volcadas. Luego, esta salida fue analizada y formateada por un script llamado miparser.vbs.
(https://i.postimg.cc/DfjFqJKN/Har-Bit-Ransomware.png) (https://postimg.cc/vDVpymT7)
Los operadores confían en el infectador de archivos Neshta para implementar HardBit para el cifrado.
HardBit puede desactivar Microsoft Defender Antivirus e inhibir la recuperación del sistema. Puede finalizar procesos y servicios para evadir la detección; los expertos advierten que las versiones 3.0 y 4.0 también admiten el modo de limpieza.
(https://i.postimg.cc/pXmvkWWL/Hard-Bit-Upgrade.png) (https://postimages.org/)
El informe proporciona información adicional sobre el ransomware, incluido MITRE ATT&CK MAPPING.
Fuente:
SecurityAffairs
https://securityaffairs.com/165735/malware/hardbit-ransomware-version-4-0.html