Pesquisadores de segurança cibernética descobriram uma nova variante de uma família de ransomware chamada HardBit (v 4.0), que agora vem com técnicas de ofuscação para impedir esforços de análise que possa ser feito por especialistas em malware.

A versão 4.0 do HardBit agora utiliza uma técnica que ofusca suas ações

Ao contrário das versões anteriores, os criadores desta variante do HardBit aprimoraram a versão 4.0 que agora possui uma proteção por senha“, disseram os pesquisadores da Cyberreason, Kotaro Ogino e Koshi Oyama, em uma análise.

“A senha precisa ser fornecida em tempo de execução para que o ransomware execute corretamente. A ofuscação adicional impede que os pesquisadores de segurança analisem o malware”.

O Hardbit surgiu pela primeira vez em outubro de 2022, criado com motivações financeiras, semelhante a outras famílias de ransomware, operando com o objetivo de gerar lucro através de táticas de dupla extorsão.

O que diferencia esta família de ransomware das outras é que seus criadores não utilizam um site de vazamento de dados, mas em vez disso, pressionam as vítimas a pagarem o valor do resgate, ameaçando realizar outros ataques cibernéticos no futuro. Seu primeiro canal de comunicação com a vítima é pelo aplicativo de mensagens instantâneas Tox.

As etapas e características do HardBit

O vetor de acesso inicial exato utilizado para hackear os ambientes das vítimas não está muito claro no momento, no entanto se suspeita que envolva ataques de força bruta nos serviços RDP e SMB.

Esta etapa envolve o roubo de credenciais utilizando ferramentas como o Mimikatz e NLBrute, bem como a varredura de rede por meio da ferramenta Advanced Port Scanner, acaba permitindo que os invasores consigam se mover lateralmente pela rede da vítima ao se conectarem remotamente via RDP.

Tendo comprometido o sistema das vítimas, o payload do HardBit é executadado e começa a realizar uma série de etapas que visam reduzir a postura de segurança do sistema afetado antes de criprografar os dados“, observou a empresa Varonis em seu artigo técnico sobre o HardBit 2.0 publicado no ano passado (2023).

A criptografia do sistema das vítimas é realizada através da implantação do HardBit, que é entregue utilizando um conhecido vírus infector de arquivos chamado de Neshta. É importante notar que o Neshta já foi usado no passado para distribuir também o ransomware Big Head.

O HardBit também foi projetado para desativar o Microsoft Defender e encerrar processos e serviços para evitar a detecção de suas atividades e impedir a recuperação do sistema. Em seguida, ele então criptografa os arquivos que sejam de interesse, atualiza seus ícones, altera o papel de parede e o rótulo dos discos do sistema com a string “Bloqueado por HardBit”.

HardBit: ransomware ofusca atividade para evitar detecção
Características do HardBit de acordo com suas versões | Créditos da imagem: New HardBit Ransomware 4.0 Uses Passphrase Protection to Evade Detection (thehackernews.com)

Além de ser oferecido aos interessados na forma de versões em linha de comando ou GUI (interface gráfica), o ransomware requer um ID de autorização para ser executado com sucesso. A versão em interface gráfica suporta ainda um modo de limpeza para apagar arquivos irrevogavelmente e limpar o disco.

Após os agentes de ameaça terem inserido com sucesso a ID de autorização, o HardBit solicita uma chave de criptografia para criptografar os arquivos nas máquinas de destino e segue com o procedimento de ransomware“, observou a empresa Cybereason.

Este modo limpador precisa ser habilitado pelos responsáveis do HardBit, sendo provavelmente um recurso adicional em que os interessados precisam adquirir“.

O cenário das ameaças de ransomware

E o mercado de ransomware continuar a ser uma crescente tendência em 2024, com os criadores alegando serem os responsáveis por 962 ataques no primeiro trimestre de 2024, acima dos 886 ataques relatados ano após ano. O LockBit, Akira e BlackSuit emergiram como as famílias de ransomware mais conhecidas durante o período, disse a Symantec.

De acordo com o relatório de resposta a incidentes da divisão de cibersegurança da Palo Alto Networks, a Unit 42, o tempo médio que leva entre o comprometimento e o roubo dos dados despencou de nove dias em 2021 para dois dias no ano passado. Em quase metade (45%) dos casos deste ano, levou menos de 24 horas.

As evidências disponíveis sugerem que a exploração de vulnerabilidades conhecidas em sistemas públicos continuem a ser o principal vetor para ataques de ransomware“, disse a Symantec (agora de propriedade da Broadcom).

Bring Your Own Vulnerable Drivver (BYOVD)” ou “Traga Seu Próprío Dispositivo Vulnerável” continua sendo a tática preferida entre grupos de ransomware, especialmente como meio de desabilitar soluções de segurança“.

O ChatGPT pode ser um perigo para a cibersegurança? (canalhacker.com.br)

Créditos

https://thehackernews.com/2024/07/new-hardbit-ransomware-40-uses.html

Créditos da imagem usada na capa do post

Ransomware: proteggere un’azienda dalla A alla Z – Onorato Informatica

O ChatGPT pode ser um perigo para a cibersegurança? (canalhacker.com.br)

Como está se sentindo?

Muito Feliz
0
Feliz
0
Apaixonado(a)
0
Não tenho certeza
0
Bobagem
0
Canal Hacker
Me chamo Ricardo Maganhati e sou o criador do site Canal Hacker.

You may also like