Threat Database Ransomware HardBit 2.0 Ransomware

HardBit 2.0 Ransomware

Открит за първи път през октомври 2022 г., HardBit е заплаха за рансъмуер, която е разработена, за да се насочи към бизнеси и организации, като изнудва жертвите с плащания под формата на криптовалута, за да бъдат дешифрирани техните данни. Оттогава този заплашителен софтуер еволюира във втората си версия, HardBit 2.0, която беше наблюдавана към края на ноември 2022 г. и продължи да се разпространява през следващите месеци на 2022 г. и след това. Този ransomware работи подобно на други съвременни варианти, като събира чувствителни данни веднага щом проникне в мрежа, преди да стартира полезния си товар, за да шифрова всички файлове в системата. Подробности за заплахата и нейните увреждащи способности бяха публикувани в доклад от експерти по зловреден софтуер.

HardBit 2.0 изисква подробности за застраховката за киберсигурност на жертвите

За разлика от много други кибергрупи за рансъмуер, операторите на HardBit нямат специален сайт за изтичане на информация, което означава, че жертвите не са заплашени от публичното разкриване на техните незаконно присвоени данни. Въпреки това групата заплашва нови атаки, ако исканията им не бъдат изпълнени.

За да се свържат с манипулаторите на HardBit, жертвите трябва да използват предварително дефинираната бележка за откуп, съдържаща се в заплахата за злонамерен софтуер. Тази бележка насърчава жертвите да се свържат с тях чрез имейл или платформата за незабавни съобщения Tox за преговори относно това колко биткойни трябва да платят за ключа за дешифриране. В допълнение към това, тези с киберзастрахователни полици са помолени да споделят подробности, така че техните изисквания да могат да бъдат съответно коригирани.

HardBit 2.0 Ransomware изтрива резервни копия и подкопава сигурността на устройствата

За да избегне анализ в средата на пясъчника на жертвата, HardBit Ransomware събира информация за хоста на жертвата, като използва функциите за уеб базирано корпоративно управление и Windows Management Instrumentation (WMI). Рансъмуерът получава различни системни подробности като инсталираните хардуерни компоненти, настройките на мрежовия адаптер, както и IP конфигурация и MAC адрес, производителя на системата и версията на BIOS, потребителско име и име на компютър и информация за часовата зона.

За да установи идентичността на тяхната марка върху криптирани файлове, полезният товар на ransomware пуска персонализирана икона на HardBit файл в папката с документи на жертвата. Освен това рансъмуерът регистрира клас в системния регистър на Windows, за да асоциира файловото разширение „.hardbit2“ с изпуснатата икона.

Като обичайна тактика, използвана от повечето съвременни заплахи за ransomware, HardBit предприема няколко мерки за предварително криптиране, за да намали позицията на сигурност на хоста жертва. Например услугата Shadow Volume Copy (VSS) се изтрива с помощта на Service Control Manager, за да се предотвратят опити за възстановяване. Каталогът на помощната програма за архивиране на Windows също се премахва, заедно с всички Shadow копия, за да се осуетят всякакви опити за възстановяване.

За да се избегне откриването и прекъсването на процеса на ransomware, различни антивирусни функции на Windows Defender са деактивирани чрез поредица от промени в системния регистър на Windows. Тези деактивирани функции включват защита от подправяне, възможности за защита от шпионски софтуер, мониторинг на поведението в реално време, защита при достъп в реално време и сканиране на процеса в реално време.

За да се гарантира, че полезният товар на HardBit Ransomware се изпълнява автоматично всеки път, когато системата се рестартира, версия на рансъмуера се копира в папката „Startup“ на жертвата. Ако този файл все още не е наличен, изпълнимият файл се преименува, за да имитира легитимния изпълним файл на хоста на услугата, „svchost.exe“, за да се избегне откриването му.

Процесът на криптиране и изискванията на HardBit 2.0 Ransomware

След определяне на наличните дискове и томове на машината на жертвата, полезният товар на рансъмуера HardBit сканира идентифицираните директории и файлове, за да определи всякакви данни за криптиране. Файловете, които са избрани за криптиране, се отварят и след това се презаписват, което е тактика, използвана за възпрепятстване на усилията за възстановяване. Тази техника се използва вместо запис на криптирани данни в нов файл и изтриване на оригинала, което е по-малко сложен подход.

След като файловете са криптирани, те се преименуват с привидно произволно име на файл, последвано от идентификатор, който включва имейл адрес за контакт, „threatactor@example.tld“ и файловото разширение „.hardbit2“. Освен това бележка за откуп с обикновен текст и бележка за откуп с HTML приложение (HTA) се записват в корена на устройството и всички папки, съдържащи криптирани файлове. Тези бележки за откуп предоставят указания как да платите откупа и да получите ключа за дешифриране.

След завършване на процеса на криптиране, файл с изображение се записва на работния плот на жертвата и се задава като тапет на системата.

Текстът на исканията на HardBit 2.0 Ransomware е:

 

'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦

----

какво стана?

Всичките ви файлове са откраднати и след това криптирани. Но не се притеснявайте, всичко е безопасно и ще ви бъде върнато.

----

Как мога да си върна файловете?

Трябва да ни платите, за да си върнем файловете. Ние нямаме банкови или paypal сметки, трябва да ни плащате само чрез биткойни.

----

Как мога да купя биткойни?

Можете да закупите биткойни от всички реномирани сайтове в света и да ни ги изпратите. Просто потърсете как да купите биткойни в интернет. Нашето предложение са тези сайтове.

>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<

----

Каква е вашата гаранция за възстановяване на файлове?

Това е просто бизнес. Ние абсолютно не се интересуваме от вас и вашите сделки, освен получаването на ползи. Ако не си вършим работата и задълженията - никой няма да ни съдейства. Не е в наш интерес.

За да проверите възможността за връщане на файлове, можете да ни изпратите произволни 2 файла с ПРОСТИ разширения (jpg, xls, doc и т.н... не бази данни!) и ниски размери (макс. 1 mb), ние ще ги дешифрираме и ще ги изпратим обратно за теб.

Това е нашата гаранция.

----

Как да се свържа с вас?

Или се свържете с нас по имейл:>>godgood55@tutanota.com<< или >>alexgod5566@xyzmailpro.com<<

----

Как ще бъде процесът на плащане след плащане?

След плащане, ние ще ви изпратим инструмента за декриптиране заедно с ръководството и ще бъдем с вас, докато последният файл бъде декриптиран.

----

Какво ще стане, ако не ти платя?

Ако не ни платите, никога няма да имате достъп до вашите файлове, защото личният ключ е само в нашите ръце. Тази сделка не е важна за нас,

но е важно за вас, защото не само че нямате достъп до вашите файлове, но и губите време. И колкото повече време минава, толкова повече ще губите и

Ако не платите откупа, ще атакуваме компанията ви отново в бъдеще.

----

Какви са вашите препоръки?

- Никога не променяйте името на файловете, ако искате да манипулирате файловете, не забравяйте да ги архивирате. Ако има проблем с файловете, ние не носим отговорност за него.

- Никога не работете с фирми посредници, защото те вземат повече пари от вас. Например, ако ви поискаме 50 000 долара, те ще ви кажат 55 000 долара. Не се страхувайте от нас, просто ни се обадете.

----

Много важно! За тези, които имат киберзастраховка срещу рансъмуер атаки.

Застрахователните компании изискват от вас да пазите информацията за застраховката си в тайна, това означава никога да не плащате максималната сума, посочена в договора, или да не плащате нищо, което нарушава преговорите.

Застрахователната компания ще се опита да провали преговорите по всякакъв начин, за да може по-късно да твърди, че ще ви бъде отказано покритие, тъй като вашата застраховка не покрива сумата на откупа.

Например вашата компания е застрахована за 10 милиона долара, докато преговаряте с вашия застрахователен агент за откупа, той ще ни предложи възможно най-ниската сума, например 100 хиляди долара,

ние ще откажем нищожната сума и ще поискаме например сумата от 15 милиона долара, застрахователният агент никога няма да ни предложи горния праг на вашата застраховка от 10 милиона долара.

Той ще направи всичко, за да провали преговорите и да откаже да ни плати напълно и да ви остави насаме с проблема ви. Ако сте ни казали анонимно, че вашата компания е била застрахована за 10 милиона долара и други

важни подробности относно застрахователното покритие, не бихме искали повече от 10 милиона долара в кореспонденция със застрахователния агент. По този начин щяхте да избегнете изтичане и да дешифрирате информацията си.

Но тъй като подлият застрахователен агент нарочно преговаря, за да не плати застрахователното обезщетение, само застрахователната компания печели в тази ситуация. За да избегнете всичко това и да получите парите от застраховката,

не забравяйте да ни информирате анонимно за наличността и условията на застрахователното покритие, това е от полза както за вас, така и за нас, но не е от полза за застрахователната компания. Бедните мултимилионери застрахователи няма да го направят

гладуват и няма да обеднеят от плащането на максималната сума посочена в договора, защото всички знаят, че договорът е по-скъп от парите, така че нека изпълняват условията

предписани във вашия застрахователен договор, благодарение на нашето взаимодействие.

-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----

Вашата лична карта:

Вашият ключ:'

Тенденция

Най-гледан

Зареждане...