HardBit 2.0 Ransomware
Detectat per primera vegada l'octubre de 2022, HardBit és una amenaça de programari de ransomware que s'ha desenvolupat per orientar-se a empreses i organitzacions, extorsionant a les víctimes amb pagaments en forma de criptomoneda perquè les seves dades siguin desxifrades. Des de llavors, aquest programari amenaçador ha evolucionat cap a la seva segona versió, HardBit 2.0, que es va observar a finals de novembre de 2022 i es va continuar estenent durant els darrers mesos de 2022 i més enllà. Aquest ransomware funciona de manera similar a altres variants modernes recopilant dades sensibles tan bon punt s'infiltra en una xarxa abans de llançar la seva càrrega útil per xifrar tots els fitxers del sistema. Els detalls sobre l'amenaça i les seves capacitats perjudicials es van publicar en un informe d'experts en programari maliciós.
Taula de continguts
L'HardBit 2.0 demana els detalls de l'assegurança de seguretat cibernètica de les víctimes
A diferència de molts altres cybergangs de ransomware, els operadors de HardBit no tenen un lloc de fuites dedicat, el que significa que les víctimes no es veuen amenaçades amb l'exposició pública de les seves dades malversades. Tanmateix, el grup amenaça amb nous atacs si no es compleixen les seves demandes.
Per contactar amb els gestors de HardBit, les víctimes han d'utilitzar la nota de rescat predefinida que conté l'amenaça de programari maliciós. Aquesta nota anima les víctimes a contactar-les per correu electrònic o amb la plataforma de missatgeria instantània Tox per negociar quant haurien de pagar bitcoins per la clau de desxifrat. A més, es demana als que tenen pòlisses d'assegurança cibernètica que comparteixin detalls perquè les seves demandes es puguin ajustar en conseqüència.
El ransomware HardBit 2.0 elimina les còpies de seguretat i soscava la seguretat dels dispositius
Per evitar ser analitzat a l'entorn de la caixa de proves de la víctima, el ransomware HardBit recopila informació sobre l'amfitrió de la víctima mitjançant la gestió empresarial basada en web i les funcions d'instrumentació de gestió de Windows (WMI). El ransomware obté diversos detalls del sistema, com ara els components de maquinari instal·lats, la configuració de l'adaptador de xarxa, així com la configuració IP i l'adreça MAC, el fabricant del sistema i la versió de la BIOS, el nom d'usuari i el nom de l'ordinador i la informació de la zona horària.
Per establir la seva identitat de marca en fitxers xifrats, la càrrega útil del ransomware deixa caure una icona de fitxer HardBit personalitzada a la carpeta de documents de la víctima. A més, el ransomware registra una classe dins del Registre de Windows per associar l'extensió de fitxer ".hardbit2" amb la icona deixada.
Com a tàctica habitual emprada per la majoria de les amenaces de ransomware modernes, HardBit pren diverses mesures de preencriptació per reduir la postura de seguretat de l'amfitrió de la víctima. Per exemple, el servei de còpia de volums d'ombra (VSS) s'elimina mitjançant el Gestor de control del servei per evitar esforços de recuperació. El catàleg d'utilitats de còpia de seguretat de Windows també s'elimina, juntament amb qualsevol còpia oculta, per frustrar qualsevol intent de recuperació.
Per evitar la detecció i la interrupció del procés de ransomware, diverses funcions antivirus de Windows Defender es desactiven mitjançant una sèrie de canvis al Registre de Windows. Aquestes funcions desactivades inclouen protecció contra manipulacions, capacitats anti-spyware, monitorització del comportament en temps real, protecció d'accés en temps real i escaneig de processos en temps real.
Per garantir que la càrrega útil HardBit Ransomware s'executi automàticament cada vegada que es reinicia el sistema, es copia una versió del ransomware a la carpeta "Inici" de la víctima. Si aquest fitxer encara no està present, l'executable es canvia de nom per imitar el fitxer executable de l'amfitrió del servei legítim, 'svchost.exe', per evitar que es detecti.
El procés de xifratge i les demandes del ransomware HardBit 2.0
Després de determinar les unitats i els volums disponibles a la màquina de la víctima, la càrrega útil del ransomware HardBit escaneja els directoris i fitxers identificats per identificar les dades per xifrar. Els fitxers que s'han seleccionat per al xifratge s'obren i després se sobreescriuen, que és una tàctica que s'utilitza per dificultar els esforços de recuperació. Aquesta tècnica s'utilitza en lloc d'escriure dades xifrades en un fitxer nou i suprimir l'original, que és un enfocament menys sofisticat.
Un cop xifrats els fitxers, es canvien el nom amb un nom de fitxer aparentment aleatori seguit d'un identificador que inclou una adreça de correu electrònic de contacte, "threatactor@example.tld" i l'extensió de fitxer ".hardbit2". A més, una nota de rescat de text sense format i una nota de rescat d'aplicació HTML (HTA) s'escriuen a l'arrel de la unitat i a totes les carpetes que contenen fitxers xifrats. Aquestes notes de rescat proporcionen instruccions sobre com pagar el rescat i rebre la clau de desxifrat.
Un cop finalitzat el procés de xifratge, es desa un fitxer d'imatge a l'escriptori de la víctima i es configura com a fons de pantalla del sistema.
El text de les demandes de HardBit 2.0 Ransomware és:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
què va passar?
Tots els vostres fitxers han estat robats i després xifrats. Però no et preocupis, tot està segur i et serà retornat.
----
Com puc recuperar els meus fitxers?
Ens heu de pagar per recuperar els fitxers. No tenim comptes bancaris ni de paypal, només ens heu de pagar a través de Bitcoin.
----
Com puc comprar bitcoins?
Podeu comprar bitcoins de tots els llocs de bona reputació del món i enviar-nos-los. Només cal que cerqueu com comprar bitcoins a Internet. El nostre suggeriment són aquests llocs.
>>https://www.binance.com/ca<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Quina és la vostra garantia per restaurar fitxers?
És només un negoci. No ens preocupem per tu ni per les teves ofertes, excepte obtenir beneficis. Si no fem la nostra feina i les nostres responsabilitats, ningú no cooperarà amb nosaltres. No és del nostre interès.
Per comprovar la capacitat de retornar fitxers, ens podeu enviar qualsevol 2 fitxers amb extensions SIMPLES (jpg,xls,doc, etc... no bases de dades!) i mides baixes (màxim 1 mb), els desxifrarem i tornarem a enviar-los. a tu.
Aquesta és la nostra garantia.
----
Com contactar amb tu?
O poseu-vos en contacte amb nosaltres per correu electrònic:>>godgood55@tutanota.com<< o >>alexgod5566@xyzmailpro.com<<
----
Com serà el procés de pagament després del pagament?
Després del pagament, t'enviarem l'eina de desxifrat juntament amb la guia i estarem amb tu fins que es desenxifra l'últim fitxer.
----
Què passa si no et pago?
Si no ens pagueu, mai no tindreu accés als vostres fitxers perquè la clau privada només està a les nostres mans. Aquesta transacció no és important per a nosaltres,
però és important per a tu, perquè no només no tens accés als teus fitxers, sinó que també perds temps. I com més temps passi, més perdràs i
Si no pagueu el rescat, tornarem a atacar la vostra empresa en el futur.
----
Quines són les vostres recomanacions?
- No canvieu mai el nom dels fitxers, si voleu manipular els fitxers, assegureu-vos de fer-ne una còpia de seguretat. Si hi ha algun problema amb els fitxers, no ens fem responsables.
- No treballis mai amb empreses intermediàries, perquè et cobren més diners. Per exemple, si et demanem 50.000 dòlars, et diran 55.000 dòlars. No ens tinguis por, només truca'ns.
----
Molt important! Per a aquells que tenen una assegurança cibernètica contra atacs de ransomware.
Les companyies d'assegurances us demanen que mantingueu en secret la informació de l'assegurança, és a dir, no pagueu mai l'import màxim especificat en el contracte o no pagueu res, interrompent les negociacions.
La companyia d'assegurances intentarà descarrilar les negociacions de la manera que pugui perquè després puguin argumentar que se us negarà la cobertura perquè la vostra assegurança no cobreix l'import del rescat.
Per exemple, la vostra empresa està assegurada per 10 milions de dòlars, mentre negocieu amb el vostre agent d'assegurances el rescat, ens oferirà la quantitat més baixa possible, per exemple 100 mil dòlars,
rebutjarem l'escàs import i demanarem, per exemple, la quantitat de 15 milions de dòlars, l'agent d'assegurances mai ens oferirà el llindar màxim de la seva assegurança de 10 milions de dòlars.
Farà qualsevol cosa per descarrilar les negociacions i negar-se a pagar-nos completament i deixar-te sol amb el teu problema. Si ens vau dir de manera anònima que la vostra empresa estava assegurada per 10 milions de dòlars i altres
detalls importants sobre la cobertura de l'assegurança, no exigirem més de 10 milions de dòlars en correspondència amb l'agent d'assegurances. D'aquesta manera hauríeu evitat una filtració i desxifrat la vostra informació.
Però com que l'agent d'assegurances furtiu negocia a propòsit per no pagar la reclamació de l'assegurança, només la companyia d'assegurances guanya en aquesta situació. Per evitar tot això i aconseguir els diners de l'assegurança,
assegureu-vos d'informar-nos de manera anònima sobre la disponibilitat i les condicions de la cobertura de l'assegurança, ens beneficia tant a vosaltres com a nosaltres, però no a la companyia d'assegurances. Les pobres asseguradores multimilionàries no ho faran
morirà de fam i no s'empobrirà a partir del pagament de l'import màxim especificat en el contracte, perquè tothom sap que el contracte és més car que els diners, així que que compleixin les condicions
prescrit en el seu contracte d'assegurança, gràcies a la nostra interacció.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
La teva identificació :
La teva clau :'
