HardBit 2.0 Ransomware
Esmakordselt 2022. aasta oktoobris tuvastatud HardBit on lunavaraoht, mis on välja töötatud ettevõtete ja organisatsioonide sihikule, pressides ohvreid välja krüptovaluuta vormis maksetega, et nende andmed dekrüpteerida. Sellest ähvardavast tarkvarast on sellest ajast peale arenenud oma teine versioon, HardBit 2.0, mida vaadeldi 2022. aasta novembri lõpus ja mis levis edasi 2022. aasta hilisematel kuudel ja pärast seda. See lunavara toimib sarnaselt teiste kaasaegsete variantidega, kogudes tundlikke andmeid kohe, kui see võrku imbub, enne kui see käivitab, et krüpteerida kõik süsteemis olevad failid. Ohu ja selle kahjustavate võimaluste üksikasjad avaldati pahavaraekspertide raportis.
Sisukord
HardBit 2.0 küsib ohvrite küberturvalisuse kindlustuse üksikasju
Erinevalt paljudest teistest lunavarakübergangidest ei ole HardBiti operaatoritel spetsiaalset lekkesaiti, mis tähendab, et ohvreid ei ähvarda nende ebaseaduslikult omastatud andmete avalikustamine. Kui nende nõudmisi ei täideta, ähvardab rühmitus aga edasiste rünnakutega.
HardBiti käitlejatega ühenduse võtmiseks peavad ohvrid kasutama pahavaraohus sisalduvat eelmääratletud lunaraha. See märkus julgustab ohvreid võtma nendega ühendust e-posti või kiirsõnumiplatvormi Tox kaudu, et pidada läbirääkimisi selle üle, kui palju bitcoine nad dekrüpteerimisvõtme eest maksma peaksid. Lisaks palutakse küberkindlustuspoliisidega isikutel jagada üksikasju, et nende nõudmisi saaks vastavalt kohandada.
HardBit 2.0 lunavara kustutab varukoopiad ja õõnestab seadmete turvalisust
Ohvri liivakastikeskkonnas analüüsimise vältimiseks kogub HardBit Ransomware teavet ohvri hosti kohta, kasutades veebipõhist ettevõttehaldust ja Windows Management Instrumentationi (WMI) funktsioone. Lunavara hangib erinevaid süsteemi üksikasju, nagu installitud riistvarakomponendid, võrguadapteri sätted, aga ka IP-konfiguratsioon ja MAC-aadress, süsteemi tootja ja BIOS-i versioon, kasutajanimi ja arvuti nimi ning ajavööndi teave.
Krüptitud failide kaubamärgi identiteedi tuvastamiseks laseb lunavara kasulik koormus ohvri dokumentide kausta kohandatud HardBiti failiikooni. Lisaks registreerib lunavara Windowsi registris klassi, et seostada faililaiend 'hardbit2' mahalangenud ikooniga.
Enamiku moodsate lunavaraohtude levinud taktikana võtab HardBit mitmeid eelkrüpteerimismeetmeid, et vähendada ohvri hosti turvaasendit. Näiteks kustutatakse varikoopiateenus (VSS) Service Control Manageri abil, et vältida taastamispüüdlusi. Taastekatsete nurjamiseks eemaldatakse ka Windowsi varundusutiliidi kataloog ja kõik varjukoopiad.
Lunavaraprotsessi tuvastamise ja katkestamise vältimiseks keelatakse Windowsi registri muudatuste tõttu mitmesugused Windows Defenderi viirusetõrje funktsioonid. Need keelatud funktsioonid hõlmavad võltsimiskaitset, nuhkvaratõrjet, käitumise reaalajas jälgimist, reaalajas juurdepääsukaitset ja protsesside reaalajas skannimist.
Tagamaks, et HardBit Ransomware koorem töötaks automaatselt iga kord, kui süsteem taaskäivitub, kopeeritakse lunavara versioon ohvri 'Startup' kausta. Kui seda faili veel pole, nimetatakse täitmisfail tuvastamise vältimiseks ümber, et jäljendada seaduslikku teenusehosti täitmisfaili "svchost.exe".
Krüpteerimisprotsess ja HardBit 2.0 lunavara nõuded
Pärast ohvri masinas saadaolevate draivide ja helitugevuste kindlaksmääramist skannib HardBiti lunavara kasulik koormus tuvastatud kataloogid ja failid, et leida kõik andmed krüptimiseks. Krüptimiseks valitud failid avatakse ja seejärel kirjutatakse üle, mis on taastamispüüdluste takistamiseks kasutatav taktika. Seda tehnikat kasutatakse krüptitud andmete uude faili kirjutamise ja originaali kustutamise asemel, mis on vähem keerukas lähenemisviis.
Kui failid on krüptitud, nimetatakse need ümber näiliselt juhusliku failinimega, millele järgneb identifikaator, mis sisaldab kontakti e-posti aadressi, "threatactor@example.tld" ja faililaiendit "hardbit2". Lisaks kirjutatakse lihtteksti lunarahateatis ja HTML-rakenduse (HTA) lunarahateatis draivi juure ja kõikidesse krüptitud faile sisaldavatesse kaustadesse. Need lunaraha märkmed annavad juhiseid lunaraha tasumiseks ja dekrüpteerimisvõtme saamiseks.
Pärast krüpteerimisprotsessi lõppu salvestatakse pildifail ohvri töölauale ja määratakse süsteemi taustapildiks.
HardBit 2.0 Ransomware nõudmiste tekst on järgmine:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
mis juhtus?
Kõik teie failid on varastatud ja seejärel krüptitud. Kuid ärge muretsege, kõik on ohutu ja tagastatakse teile.
----
Kuidas ma saan oma failid tagasi saada?
Failide tagasisaamiseks peate meile maksma. Meil ei ole panga- ega paypali kontosid, peate meile maksma ainult Bitcoini kaudu.
----
Kuidas ma saan bitcoine osta?
Saate osta bitcoine kõigilt maailma mainekatelt saitidelt ja saata need meile. Lihtsalt otsige, kuidas Internetist bitcoine osta. Meie soovitus on need saidid.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Mis on teie garantii failide taastamiseks?
See on lihtsalt äri. Me ei hooli sinust ja teie tehingutest, välja arvatud eeliste saamine. Kui me oma tööd ja kohustusi ei täida - keegi ei tee meiega koostööd. See ei ole meie huvides.
Failide tagastamise võimaluse kontrollimiseks võite saata meile suvalised 2 faili SIMPLE laiendiga (jpg,xls,doc jne... mitte andmebaasid!) ja väikese suurusega (max 1 mb), me dekrüpteerime need ja saadame tagasi sulle.
See on meie garantii.
----
Kuidas teiega ühendust võtta?
Või võtke meiega ühendust e-posti teel:>>godgood55@tutanota.com<< või >>alexgod5566@xyzmailpro.com<<
----
Kuidas toimub makseprotsess pärast maksmist?
Pärast maksmist saadame teile dekrüpteerimistööriista koos juhendiga ja oleme teiega kuni viimase faili dekrüpteerimiseni.
----
Mis juhtub, kui ma teile ei maksa?
Kui te meile ei maksa, ei pääse te kunagi oma failidele juurde, sest privaatvõti on ainult meie käes. See tehing pole meile oluline,
kuid see on teie jaoks oluline, sest te mitte ainult ei pääse oma failidele juurde, vaid kaotate ka aega. Ja mida aeg edasi, seda rohkem sa kaotad ja
Kui te lunaraha ei maksa, ründame teie ettevõtet tulevikus uuesti.
----
Millised on teie soovitused?
- Ärge kunagi muutke failide nimesid, kui soovite failidega manipuleerida, tehke neist kindlasti varukoopia. Kui failidega on probleeme, ei vastuta me selle eest.
- Ärge kunagi töötage vahendusettevõtetega, sest nad nõuavad teilt rohkem raha. Näiteks kui me küsime teilt 50 000 dollarit, siis nad ütlevad teile 55 000 dollarit. Ärge kartke meid, vaid helistage meile.
----
Väga tähtis! Neile, kellel on lunavararünnakute vastu küberkindlustus.
Kindlustusseltsid nõuavad oma kindlustusinfo saladuses hoidmist, see tähendab, et te ei maksa kunagi lepingus määratud maksimumsummat või ei maksa üldse midagi, mis häirib läbirääkimisi.
Kindlustusselts püüab läbirääkimised igal võimalikul viisil rööbastelt kõrvale lükata, et nad saaksid hiljem väita, et teile ei anta kaitset, kuna teie kindlustus ei kata lunaraha.
Näiteks on teie ettevõte kindlustatud 10 miljoni dollari eest, kui teie kindlustusagendiga lunaraha üle läbirääkimisi pidades pakub ta meile väikseima võimaliku summa, näiteks 100 tuhat dollarit,
me keeldume tühisest summast ja küsime näiteks 15 miljonit dollarit, kindlustusagent ei paku meile kunagi teie kindlustuse ülemist piirmäära 10 miljonit dollarit.
Ta teeb kõik selleks, et läbirääkimised rööpast välja lüüa, ja keeldub meile täielikult välja maksmast ja jätab teid oma probleemiga rahule. Kui ütlesite meile anonüümselt, et teie ettevõte on kindlustatud 10 miljoni dollari ja muu eest
kindlustuskaitset puudutavaid olulisi üksikasju, ei nõuaks me kindlustusagendiga kirjavahetuses rohkem kui 10 miljonit dollarit. Nii oleksite leket vältinud ja oma teabe dekrüpteerinud.
Aga kuna salakaval kindlustusagent peab sihilikult läbirääkimisi, et mitte kindlustusnõude eest tasuda, siis võidab selles olukorras ainult kindlustusselts. Selle kõige vältimiseks ja kindlustusraha saamiseks,
teavita meid kindlasti anonüümselt kindlustuskaitse olemasolust ja tähtaegadest, sellest on kasu nii sulle kui meile, kuid kindlustusseltsile see kasu ei too. Vaesed multimiljonärid kindlustusandjad seda ei tee
nälgida ja lepingus määratud maksimumsumma maksmisest vaesemaks ei jää, sest kõik teavad, et leping on rahast kallim, las täidavad tingimused
tänu meie suhtlusele teie kindlustuslepingus ette nähtud.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Sinu ID :
Sinu võti:'
