Το HardBit ransomware έχει ενημερωθεί στην έκδοση 2.0 και οι χειριστές της προσπαθούν να διαπραγματευτούν μια πληρωμή λύτρων που θα μπορούσε να καλυφθεί από την ασφαλιστική εταιρεία του θύματος.
Συγκεκριμένα, ο απειλητικός παράγοντας προσπαθεί να πείσει το θύμα ότι είναι προς το συμφέρον του να αποκαλύψει όλα τα στοιχεία ασφάλισης, ώστε να μπορέσει να προσαρμόσει τις απαιτήσεις του, ώστε ο ασφαλιστής να καλύψει όλα τα έξοδα.
Δείτε επίσης: GoDaddy: Χάκερς έκλεψαν source code και εγκατέστησαν malware στους servers
Εμφάνιση του HardBit 2.0
Η πρώτη έκδοση του HardBit εντοπίστηκε τον Οκτώβριο του 2022, ενώ η έκδοση 2.0 παρουσιάστηκε τον Νοέμβριο του 2022 και εξακολουθεί να είναι η παραλλαγή που κυκλοφορεί επί του παρόντος, σύμφωνα με έκθεση της Varonis, εταιρείας ασφάλειας δεδομένων και ανάλυσης.
Σε αντίθεση με τις περισσότερες λειτουργίες ransomware, το HardBit δεν διαθέτει ιστότοπο διαρροής δεδομένων, αν και οι χειριστές του ισχυρίζονται ότι κλέβουν δεδομένα θυμάτων και απειλούν να τα διαρρεύσουν εκτός εάν καταβληθούν λύτρα.
Ως στέλεχος ransomware, το HardBit 2.0 διαθέτει ορισμένες δυνατότητες για μείωση της ασφάλειας του θύματος, όπως η τροποποίηση του μητρώου για την απενεργοποίηση της παρακολούθησης συμπεριφοράς του Windows Defender σε πραγματικό χρόνο, η σάρωση διεργασιών και οι προστασίες αρχείων κατά την πρόσβαση.
Το κακόβουλο λογισμικό στοχεύει επίσης 86 διαδικασίες για τερματισμό, ώστε τα ευαίσθητα αρχεία να είναι διαθέσιμα για κρυπτογράφηση. Αποκαθιστά το persistence προσθέτοντας τον εαυτό του στο φάκελο “Startup” και διαγράφει τα αντίγραφα Volume Shadow για να κάνει την ανάκτηση δεδομένων πιο δύσκολη.
Δείτε επίσης: Earth Kitsune: Χρησιμοποιεί το νέο WhiskerSpy malware στις επιθέσεις της
Ένα ενδιαφέρον στοιχείο σχετικά με τη φάση της κρυπτογράφησης είναι ότι αντί να γράφει κρυπτογραφημένα δεδομένα σε αντίγραφα αρχείων και να διαγράφει τα πρωτότυπα όπως κάνουν πολλά στελέχη, το HardBit 2.0 ανοίγει τα αρχεία και αντικαθιστά το περιεχόμενό τους με κρυπτογραφημένα δεδομένα. Αυτή η προσέγγιση δυσκολεύει τους ειδικούς να ανακτήσουν τα αρχικά αρχεία και κάνει την κρυπτογράφηση ελαφρώς πιο γρήγορη.
Διαπραγμάτευση για λύτρα
Όπως και άλλα στελέχη ransomware, η σημείωση ότι το HardBit 2.0 κάνει drop στο σύστημα του θύματος δεν ενημερώνει για το ποσό που θέλουν οι χάκερ ως αντάλλαγμα για το κλειδί αποκρυπτογράφησης. Τα θύματα έχουν 48 ώρες για να επικοινωνήσουν με τον εισβολέα μέσω μιας ανοιχτού κώδικα κρυπτογραφημένης εφαρμογής ανταλλαγής μηνυμάτων επικοινωνίας peer-to-peer.
Ο απειλητικός παράγοντας συμβουλεύει τα θύματα να μην συνεργάζονται με μεσάζοντες, καθώς αυτό θα ανέβαζε μόνο το συνολικό κόστος, αλλά να επικοινωνήσουν απευθείας μαζί τους για διαπραγματεύσεις.
Για τις εταιρείες που έχουν ασφάλιση για κυβερνοεπιθέσεις, οι χάκερ έχουν ένα πιο περίπλοκο σύνολο οδηγιών και τις προτρέπουν να αποκαλύψουν το ποσό ασφάλισης για επιτυχημένο διάλογο.
Οι χάκερ αναφέρουν ότι η κοινή χρήση των στοιχείων ασφάλισης είναι επωφελής για το θύμα, απεικονίζοντας τον ασφαλιστή ως τον κακό που εμποδίζει την ανάκτηση των δεδομένων του.
Οι απειλητικοί παράγοντες λένε ότι οι ασφαλιστές δεν διαπραγματεύονται ποτέ με τους φορείς ransomware έχοντας κατά νου τα συμφέροντα των πελατών τους, έτσι κάνουν γελοίες αντιπροσφορές στα αιτήματά τους απλώς για να εκτροχιάσουν τις διαπραγματεύσεις και αρνούνται να πληρώσουν.
Δείτε επίσης: Κυβερνοεπίθεση στόχευσε τους υπαλλήλους της Coinbase με fake SMS alert
Οι επιτιθέμενοι λένε ότι αν γνωρίζουν το ακριβές ποσό ασφάλισης, θα ξέρουν ακριβώς πόσο να ζητήσουν, οπότε ο ασφαλιστής αναγκάζεται να καλύψει τη ζήτηση.
Η αναφορά της Varonis παρέχει τεχνικές λεπτομέρειες για το πώς λειτουργεί το HardBit 2.0 ξεκινώντας από το αρχικό στάδιο και την απενεργοποίηση των χαρακτηριστικών ασφαλείας έως την απόκτηση persistence και την ανάπτυξη της ρουτίνας κρυπτογράφησης.
Πηγή πληροφοριών: bleepingcomputer.com
