Los investigadores de ciberseguridad han arrojado luz sobre una nueva versión de un ransomware llamado HardBit que viene con nuevas técnicas de ofuscación para disuadir los esfuerzos de análisis.
“A diferencia de las versiones anteriores, el grupo HardBit Ransomware mejoró la versión 4.0 con protección de contraseña”, dijeron los investigadores de Cybereason Kotaro Ogino y Koshi Oyama. dicho en un análisis.
“La frase de contraseña debe proporcionarse durante el tiempo de ejecución para que el ransomware se ejecute correctamente. La ofuscación adicional impide que los investigadores de seguridad analicen el malware”.
HardBit, que surgió por primera vez en octubre de 2022, es un actor de amenazas con motivaciones financieras que, al igual que otros grupos de ransomware, opera con el objetivo de generar ingresos ilícitos a través de tácticas de doble extorsión.
Lo que distingue a este grupo de amenazas es que no opera un sitio de filtración de datos, sino que presiona a las víctimas para que paguen amenazando con realizar más ataques en el futuro. Su principal modo de comunicación se produce a través del servicio de mensajería instantánea Tox.
Actualmente no está claro el vector de acceso inicial exacto utilizado para violar los entornos de destino, aunque se sospecha que involucra ataques de fuerza bruta a servicios RDP y SMB.
Los pasos siguientes incluyen el robo de credenciales mediante herramientas como Mimikatz y NLBrute, y el descubrimiento de la red a través de utilidades como Advanced Port Scanner, lo que permite a los atacantes moverse lateralmente a través de la red por medio de RDP.
“Después de comprometer el host de una víctima, la carga útil del ransomware HardBit se ejecuta y realiza una serie de pasos que reducen la postura de seguridad del host antes de cifrar los datos de la víctima”, dijo Varonis. anotado en su artículo técnico sobre HardBit 2.0 del año pasado.
El cifrado de los hosts de las víctimas se lleva a cabo mediante la implementación de HardBit, que se distribuye mediante un virus infectador de archivos conocido llamado NeshtaVale la pena señalar que los actores de amenazas también han utilizado Neshta en el pasado para distribuir el ransomware Big Head.
HardBit también está diseñado para desactivar Microsoft Defender Antivirus y finalizar procesos y servicios para evadir la posible detección de sus actividades e inhibir la recuperación del sistema. Luego, cifra los archivos de interés, actualiza sus íconos, cambia el fondo de pantalla del escritorio y altera la etiqueta del volumen del sistema con la cadena “Bloqueado por HardBit”.
Además de ofrecerse a los operadores en forma de línea de comandos o versiones GUI, el ransomware requiere un ID de autorización para ejecutarse correctamente. La versión GUI también admite un modo de borrado para borrar archivos de forma irrevocable y limpiar el disco.
“Una vez que los actores de amenazas ingresan con éxito el ID de autorización decodificado, HardBit solicita una clave de cifrado para cifrar los archivos en las máquinas de destino y procede con el procedimiento de ransomware”, señaló Cybereason.
“El grupo de ransomware HardBit debe habilitar la función de modo de borrado y es probable que la función sea una función adicional que los operadores deban adquirir. Si los operadores necesitan el modo de borrado, deberán implementar hard.txt, un archivo de configuración opcional del binario HardBit que contiene la identificación de autorización para habilitar el modo de borrado”.
El desarrollo se produce cuando la empresa de ciberseguridad Trellix detallado un ataque de ransomware CACTUS que se ha observado que explota fallas de seguridad en Ivanti Sentry (CVE-2023-38035) para instalar el malware de cifrado de archivos utilizando herramientas de escritorio remoto legítimas como AnyDesk y Splashtop.
La actividad de ransomware sigue “siguiendo una tendencia al alza” en 2024, y los actores de ransomware se atribuyeron 962 ataques en el primer trimestre de 2024, frente a los 886 ataques notificados en el mismo período del año anterior. LockBit, Akira y BlackSuit han surgido como las familias de ransomware más prevalentes durante el período, afirmó Symantec.
Según el informe de respuesta al incidente de la Unidad 42 de 2024 de Palo Alto Networks, tiempo medio El tiempo que lleva pasar de una vulnerabilidad a una exfiltración de datos se redujo drásticamente de nueve días en 2021 a dos días el año pasado. En casi la mitad (45%) de los casos este año, fueron poco menos de 24 horas.
“La evidencia disponible sugiere que la explotación de vulnerabilidades conocidas en aplicaciones públicas sigue siendo el principal vector de ataques de ransomware”, dijo la empresa propiedad de Broadcom. dicho“Bring Your Own Vulnerable Driver (BYOVD) sigue siendo una táctica preferida entre los grupos de ransomware, en particular como un medio para deshabilitar soluciones de seguridad”.