Los investigadores de ciberseguridad han arrojado luz sobre una nueva versión de una cepa de ransomware llamada HardBit, que viene con nuevas técnicas de ofuscación para disuadir los esfuerzos de escaneo.
«A diferencia de las versiones anteriores, el grupo HardBit Ransomware ha mejorado la versión 4.0 con protección por contraseña», dijeron los investigadores de Cybereason Kotaro Ogino y Koshi Oyama. dicho en un análisis.
“Se debe proporcionar la frase de contraseña durante la ejecución para que el ransomware se ejecute correctamente. Una ofuscación adicional impide que los investigadores de seguridad analicen el malware. »
HardBit, que apareció por primera vez a partir de octubre de 2022, es un actor de amenazas con motivación financiera que, al igual que otros grupos de ransomware, opera con el objetivo de generar ingresos ilícitos mediante tácticas de doble extorsión.
Lo que distingue a este grupo de hackers es que no operan un sitio de fuga de datos, sino que presionan a las víctimas para que paguen amenazándolos con llevar a cabo nuevos ataques en el futuro. Su principal modo de comunicación es a través del servicio de mensajería instantánea Tox.
Actualmente no está claro el vector de acceso inicial exacto utilizado para violar los entornos objetivo, aunque se sospecha que implica un ataque de fuerza bruta a los servicios RDP y SMB.
Los pasos de seguimiento incluyen el robo de credenciales utilizando herramientas como Mimikatz y NLBrute, así como el descubrimiento de redes a través de utilidades como Advanced Port Scanner, que permite a los atacantes moverse lateralmente a través de la red utilizando RDP.
«Después de comprometer el host de una víctima, la carga útil del ransomware HardBit se ejecuta y realiza una serie de pasos que reducen la postura de seguridad del host antes de cifrar los datos de la víctima», dijo Varonis. nota en su artículo técnico sobre HardBit 2.0 el año pasado.
El cifrado de los hosts de las víctimas se lleva a cabo mediante la implementación de HardBit, que se entrega mediante un conocido virus que infecta archivos llamado NeshtaCabe señalar que Neshta ha sido utilizado por actores maliciosos en el pasado para distribuir también el ransomware Big Head.
HardBit también está diseñado para deshabilitar Microsoft Defender Antivirus y finalizar procesos y servicios para evadir una posible detección de sus actividades y evitar la recuperación del sistema. Luego cifra los archivos de interés, actualiza sus íconos, cambia el fondo de pantalla del escritorio y modifica el nombre del volumen del sistema con la cadena «Bloqueado por HardBit».
Además de ofrecerse a los operadores en versiones de línea de comandos o GUI, el ransomware requiere una credencial de autorización para poder ejecutarse correctamente. La versión GUI también admite un modo de borrado para borrar archivos de forma irrevocable y borrar el disco.
«Una vez que los actores de la amenaza ingresan con éxito el ID de autorización decodificado, HardBit solicita una clave de cifrado para cifrar los archivos en las máquinas de destino y continúa con el procedimiento de ransomware», señaló Cybereason.
“La función del modo de borrador debe ser habilitada por el grupo HardBit Ransomware y probablemente sea una función adicional que los operadores deben comprar. Si los operadores requieren el modo borrador, deben implementar hard.txt, un archivo de configuración opcional del binario HardBit que contiene el ID de autorización para habilitar el modo borrador. »
Este desarrollo se produce como empresa de ciberseguridad Trellix. detallado un ataque de ransomware CACTUS que se observó explotando vulnerabilidades de seguridad en Ivanti Sentry (CVE-2023-38035) para instalar el malware de cifrado de archivos utilizando herramientas legítimas de escritorio remoto como AnyDesk y Splashtop.
La actividad de ransomware continúa “en una tendencia ascendente” en 2024, y los actores de ransomware reclamaron 962 ataques en el primer trimestre de 2024, en comparación con los 886 ataques reportados año tras año. LockBit, Akira y BlackSuit surgieron como las familias de ransomware más frecuentes durante este período, afirmó Symantec.
Según el Informe de respuesta a incidentes de la Unidad 42 de 2024 de Palo Alto Networks, tiempo medio El tiempo que lleva pasar del compromiso de los datos a la filtración se redujo de nueve días en 2021 a dos días el año pasado. En casi la mitad (45%) de los casos de este año, este retraso fue de poco menos de 24 horas.
«La evidencia disponible sugiere que la explotación de vulnerabilidades conocidas en aplicaciones públicas sigue siendo el principal vector de ataques de ransomware», dijo la empresa propiedad de Broadcom. dicho“Bring Your Own Vulnerable Driver (BYOVD) sigue siendo una táctica favorita entre los grupos de ransomware, particularmente como medio para deshabilitar soluciones de seguridad. »