HardBit 2.0 Ransomware
HardBit, som først blev opdaget i oktober 2022, er en ransomware-trussel, der er blevet udviklet til at målrette mod virksomheder og organisationer og afpresse ofre med betalinger i form af kryptovaluta for at deres data skal dekrypteres. Denne truende software har siden udviklet sig til sin anden version, HardBit 2.0, som blev observeret i slutningen af november 2022 og fortsatte med at sprede sig gennem de senere måneder af 2022 og derefter. Denne ransomware fungerer på samme måde som andre moderne varianter ved at indsamle følsomme data, så snart den infiltrerer et netværk, før den starter sin nyttelast for at kryptere alle filer på systemet. Detaljer om truslen og dens skadelige egenskaber blev offentliggjort i en rapport fra malware-eksperter.
Indholdsfortegnelse
HardBit 2.0 beder om ofres cybersikkerhedsforsikringsoplysninger
I modsætning til mange andre ransomware-cybergange har HardBits operatører ikke et dedikeret lækagested, hvilket betyder, at ofre ikke er truet med offentlig eksponering af deres uretmæssige data. Gruppen truer dog med yderligere angreb, hvis deres krav ikke bliver opfyldt.
For at kontakte HardBit-handlerne skal ofrene bruge den foruddefinerede løsesumseddel indeholdt i malware-truslen. Denne note opfordrer ofre til at kontakte dem via e-mail eller Tox-instant messaging-platformen for forhandlinger om, hvor meget bitcoin de skal betale for dekrypteringsnøglen. Ud over dette bliver dem med cyberforsikringer bedt om at dele detaljer, så deres krav kan justeres i overensstemmelse hermed.
HardBit 2.0 Ransomware sletter sikkerhedskopier og underminerer enhedernes sikkerhed
For at undgå at blive analyseret i ofrets sandkassemiljø indsamler HardBit Ransomware oplysninger om offerets vært ved at bruge webbaseret virksomhedsadministration og Windows Management Instrumentation (WMI) funktioner. Ransomwaren henter forskellige systemdetaljer såsom de installerede hardwarekomponenter, netværksadapterindstillinger samt IP-konfiguration og MAC-adresse, systemets producent og BIOS-version, brugernavn og computernavn og tidszoneoplysninger.
For at etablere deres varemærkeidentitet på krypterede filer, sætter ransomware-nyttelasten et brugerdefineret HardBit-filikon ned i offerets dokumentmappe. Desuden registrerer ransomware en klasse i Windows-registreringsdatabasen for at knytte filtypenavnet '.hardbit2' til det droppede ikon.
Som en almindelig taktik, der anvendes af de fleste moderne ransomware-trusler, tager HardBit adskillige prækrypteringsforanstaltninger for at reducere offerværtens sikkerhedsposition. For eksempel slettes Shadow Volume Copy Service (VSS) ved hjælp af Service Control Manager for at forhindre gendannelse. Kataloget med Windows-sikkerhedskopiværktøjet fjernes også sammen med eventuelle Shadow-kopier for at forhindre gendannelsesforsøg.
For at undgå opdagelse og afbrydelse af ransomware-processen er forskellige Windows Defender Antivirus-funktioner deaktiveret gennem en række ændringer i Windows-registreringsdatabasen. Disse deaktiverede funktioner omfatter manipulationsbeskyttelse, anti-spyware-funktioner, adfærdsovervågning i realtid, adgangsbeskyttelse i realtid og processcanning i realtid.
For at sikre, at HardBit Ransomware-nyttelasten kører automatisk, hver gang systemet genstarter, kopieres en version af ransomwaren til offerets 'Startup'-mappe. Hvis denne fil ikke allerede er til stede, omdøbes den eksekverbare for at efterligne den legitime eksekverbare tjenesteværtsfil, 'svchost.exe', for at undgå at blive opdaget.
Krypteringsprocessen og HardBit 2.0 Ransomwares krav
Efter at have bestemt de tilgængelige drev og volumener på offerets maskine, scanner HardBit ransomware-nyttelasten de identificerede mapper og filer for at lokalisere eventuelle data til kryptering. Filer, der er blevet udvalgt til kryptering, åbnes og overskrives derefter, hvilket er en taktik, der bruges til at forhindre genoprettelsesbestræbelser. Denne teknik bruges i stedet for at skrive krypterede data til en ny fil og slette originalen, hvilket er en mindre sofistikeret tilgang.
Når filerne er krypteret, omdøbes de med et tilsyneladende tilfældigt filnavn efterfulgt af en identifikator, der inkluderer en kontakt-e-mailadresse, 'threatactor@example.tld' og filtypen '.hardbit2'. Derudover skrives en løsesumseddel i almindelig tekst og en løsesumseddel i HTML-applikation (HTA) til drevroden og alle mapper, der indeholder krypterede filer. Disse løsesumsedler giver instruktioner om, hvordan man betaler løsesummen og modtager dekrypteringsnøglen.
Når krypteringsprocessen er fuldført, gemmes en billedfil på ofrets skrivebord og indstilles som systembaggrund.
Teksten til HardBit 2.0 Ransomwares krav er:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
hvad skete der?
Alle dine filer er blevet stjålet og derefter krypteret. Men bare rolig, alt er sikkert og vil blive returneret til dig.
----
Hvordan kan jeg få mine filer tilbage?
Du skal betale os for at få filerne tilbage. Vi har ikke bank- eller paypal-konti, du skal kun betale os via Bitcoin.
----
Hvordan kan jeg købe bitcoins?
Du kan købe bitcoins fra alle velrenommerede sider i verden og sende dem til os. Bare søg hvordan man køber bitcoins på internettet. Vores forslag er disse websteder.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/da-DK/<<
----
Hvad er din garanti for at gendanne filer?
Det er bare en forretning. Vi er absolut ligeglade med dig og dine aftaler, bortset fra at få fordele. Hvis vi ikke gør vores arbejde og forpligtelser - vil ingen samarbejde med os. Det er ikke i vores interesse.
For at kontrollere muligheden for at returnere filer, kan du sende til os 2 filer med SIMPLE udvidelser (jpg, xls, doc, osv... ikke databaser!) og lave størrelser (max 1 mb), vi dekrypterer dem og sender tilbage til dig.
Det er vores garanti.
----
Hvordan kontakter du dig?
Eller kontakt os på e-mail:>>godgood55@tutanota.com<< eller >>alexgod5566@xyzmailpro.com<<
----
Hvordan vil betalingsprocessen være efter betaling?
Efter betaling sender vi dig dekrypteringsværktøjet sammen med guiden, og vi vil være med dig, indtil den sidste fil er dekrypteret.
----
Hvad sker der, hvis jeg ikke betaler dig?
Hvis du ikke betaler os, har du aldrig adgang til dine filer, fordi den private nøgle kun er i vores hænder. Denne transaktion er ikke vigtig for os,
men det er vigtigt for dig, for ikke alene har du ikke adgang til dine filer, men du mister også tid. Og jo mere tid der går, jo mere vil du tabe og
Hvis du ikke betaler løsesummen, vil vi angribe din virksomhed igen i fremtiden.
----
Hvad er dine anbefalinger?
- Skift aldrig navnet på filerne. Hvis du vil manipulere filerne, skal du sørge for at tage en sikkerhedskopi af dem. Hvis der er et problem med filerne, er vi ikke ansvarlige for det.
- Arbejd aldrig med formidlervirksomheder, for de opkræver flere penge fra dig. For eksempel, hvis vi beder dig om 50.000 dollars, vil de fortælle dig 55.000 dollars. Vær ikke bange for os, bare ring til os.
----
Meget vigtigt! For dem, der har cyberforsikring mod ransomware-angreb.
Forsikringsselskaber kræver, at du holder dine forsikringsoplysninger hemmelige, dette er for aldrig at betale det maksimale beløb, der er angivet i kontrakten, eller slet ikke at betale noget, hvilket forstyrrer forhandlingerne.
Forsikringsselskabet vil forsøge at afspore forhandlingerne på enhver måde, de kan, så de senere kan argumentere for, at du vil blive nægtet dækning, fordi din forsikring ikke dækker løsesummen.
For eksempel er din virksomhed forsikret for 10 millioner dollars, mens han forhandler med din forsikringsagent om løsesummen, vil han tilbyde os det lavest mulige beløb, for eksempel 100 tusind dollars,
vi vil afslå det sølle beløb og bede for eksempel om beløbet på 15 millioner dollars, forsikringsagenten vil aldrig tilbyde os den øverste tærskel for din forsikring på 10 millioner dollars.
Han vil gøre alt for at afspore forhandlingerne og nægte at betale os fuldstændigt og lade dig være alene med dit problem. Hvis du fortalte os anonymt, at din virksomhed var forsikret for $10 millioner og andet
vigtige detaljer vedrørende forsikringsdækning, ville vi ikke kræve mere end $10 millioner i korrespondance med forsikringsagenten. På den måde ville du have undgået et læk og dekrypteret dine oplysninger.
Men da den luskede forsikringsagent bevidst forhandler for ikke at betale for forsikringskravet, vinder kun forsikringsselskabet i denne situation. For at undgå alt dette og få pengene på forsikringen,
sørg for at informere os anonymt om tilgængeligheden og vilkårene for forsikringsdækning, det gavner både dig og os, men det gavner ikke forsikringsselskabet. Fattige multimillionærforsikringsselskaber vil ikke
sulte og vil ikke blive fattigere af betalingen af det maksimale beløb, der er angivet i kontrakten, fordi alle ved, at kontrakten er dyrere end penge, så lad dem opfylde betingelserne
foreskrevet i din forsikringsaftale, takket være vores interaktion.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Dit ID :
Din nøgle :'
