HardBit 2.0 Ransomware
Ensimmäistä kertaa lokakuussa 2022 havaittu HardBit on kiristysohjelmauhka, joka on kehitetty kohdistamaan yrityksiä ja organisaatioita, kiristäen uhreja maksuilla kryptovaluuttojen muodossa heidän tietojensa salauksen purkamiseksi. Tästä uhkaavasta ohjelmistosta on sittemmin kehittynyt toinen versio, HardBit 2.0, joka havaittiin marraskuun 2022 lopulla ja levisi edelleen vuoden 2022 myöhempinä kuukausina ja sen jälkeen. Tämä kiristysohjelma toimii samalla tavalla kuin muut nykyaikaiset versiot keräämällä arkaluonteisia tietoja heti, kun se tunkeutuu verkkoon, ennen kuin se käynnistää hyötykuorman salatakseen kaikki järjestelmän tiedostot. Yksityiskohdat uhasta ja sen haitallisista ominaisuuksista julkaistiin haittaohjelmaasiantuntijoiden raportissa.
Sisällysluettelo
HardBit 2.0 pyytää tietoja uhrien kyberturvavakuutuksesta
Toisin kuin monilla muilla kiristysohjelmien kybergangeilla, HardBitin operaattoreilla ei ole omaa vuotosivustoa, mikä tarkoittaa, että uhreja ei uhkaa kavallistettujen tietojen julkistaminen. Ryhmä uhkaa kuitenkin uusilla hyökkäyksillä, jos heidän vaatimuksiaan ei täytetä.
Ottaakseen yhteyttä HardBit-käsittelijöihin uhrien on käytettävä haittaohjelmauhan sisältämää ennalta määritettyä lunnaita. Tämä huomautus kehottaa uhreja ottamaan heihin yhteyttä sähköpostitse tai Tox-pikaviestintäalustalla neuvottelemaan siitä, kuinka paljon bitcoineja heidän tulisi maksaa salauksenpurkuavaimesta. Tämän lisäksi kybervakuutuksen ottaneita pyydetään jakamaan tietoja, jotta heidän vaatimuksiaan voidaan mukauttaa vastaavasti.
HardBit 2.0 Ransomware poistaa varmuuskopiot ja heikentää laitteiden turvallisuutta
Välttääkseen analysoinnin uhrin hiekkalaatikkoympäristössä HardBit Ransomware kerää tietoja uhrin isännästä käyttämällä web-pohjaista yrityksenhallintaa ja Windows Management Instrumentation (WMI) -toimintoja. Kiristysohjelma saa erilaisia järjestelmätietoja, kuten asennetut laitteistokomponentit, verkkosovittimen asetukset sekä IP-kokoonpanon ja MAC-osoitteen, järjestelmän valmistajan ja BIOS-version, käyttäjätunnuksen ja tietokoneen nimen sekä aikavyöhyketiedot.
Vahvistaakseen brändi-identiteettinsä salatuissa tiedostoissa ransomware-hyötykuorma pudottaa mukautetun HardBit-tiedostokuvakkeen uhrin asiakirjakansioon. Lisäksi kiristysohjelma rekisteröi luokan Windowsin rekisteriin liittääkseen tiedostotunnisteen ".hardbit2" pudonneen kuvakkeen kanssa.
Useimpien nykyaikaisten kiristysohjelmauhkien käyttämänä taktiikkana HardBit toteuttaa useita esisalaustoimenpiteitä vähentääkseen uhrin isäntäasennon turvallisuutta. Esimerkiksi Shadow Volume Copy Service (VSS) poistetaan käyttämällä Service Control Manageria palautustoimien estämiseksi. Myös Windowsin varmuuskopiointiapuohjelman luettelo ja kaikki varjokopiot poistetaan palautusyritysten estämiseksi.
Kiristysohjelmaprosessin havaitsemisen ja häiriön välttämiseksi useat Windows Defender Antivirus -ominaisuudet poistetaan käytöstä useiden Windowsin rekisterimuutosten vuoksi. Näitä käytöstä poistettuja ominaisuuksia ovat muun muassa peukalointisuojaus, vakoiluohjelmien torjuntaominaisuudet, reaaliaikainen käyttäytymisen valvonta, reaaliaikainen pääsysuojaus ja reaaliaikainen prosessien tarkistus.
Varmistaakseen, että HardBit Ransomware -hyötykuorma toimii automaattisesti aina, kun järjestelmä käynnistyy uudelleen, kiristysohjelman versio kopioidaan uhrin "Käynnistys"-kansioon. Jos tätä tiedostoa ei vielä ole, suoritettava tiedosto nimetään uudelleen niin, että se jäljittelee laillista palvelupalvelimen suoritettavaa tiedostoa "svchost.exe", jotta sitä ei havaita.
Salausprosessi ja HardBit 2.0 Ransomwaren vaatimukset
Määritettyään uhrin koneella käytettävissä olevat asemat ja taltiot, HardBit ransomware -hyötykuorma skannaa tunnistetut hakemistot ja tiedostot löytääkseen tiedot salausta varten. Salattavaksi valitut tiedostot avataan ja kirjoitetaan sitten päälle, mikä on taktiikka, jota käytetään estämään palautuspyrkimyksiä. Tätä tekniikkaa käytetään sen sijaan, että kirjoitetaan salattuja tietoja uuteen tiedostoon ja poistetaan alkuperäinen, mikä on vähemmän kehittynyt lähestymistapa.
Kun tiedostot on salattu, ne nimetään uudelleen näennäisesti satunnaisella tiedostonimellä, jota seuraa tunniste, joka sisältää yhteyssähköpostiosoitteen, "threatactor@example.tld" ja ".hardbit2"-tiedostotunnisteen. Lisäksi pelkkää tekstiä koskeva lunnausilmoitus ja HTML-sovelluksen (HTA) lunnaat kirjoitetaan aseman juureen ja kaikkiin kansioihin, jotka sisältävät salattuja tiedostoja. Nämä lunnaat antavat ohjeet lunastusmaksun maksamiseen ja salauksen purkuavaimen vastaanottamiseen.
Kun salausprosessi on valmis, kuvatiedosto tallennetaan uhrin työpöydälle ja asetetaan järjestelmän taustakuvaksi.
HardBit 2.0 Ransomwaren vaatimusten teksti on:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
mitä tapahtui?
Kaikki tiedostosi on varastettu ja sitten salattu. Mutta älä huoli, kaikki on turvassa ja palautetaan sinulle.
----
Miten saan tiedostoni takaisin?
Sinun on maksettava meille saadaksesi tiedostot takaisin. Meillä ei ole pankki- tai paypal-tilejä, sinun on maksettava meille vain Bitcoinin kautta.
----
Kuinka voin ostaa bitcoineja?
Voit ostaa bitcoineja kaikilta maailman arvostetuilta sivustoilta ja lähettää ne meille. Etsi vain kuinka ostaa bitcoineja Internetistä. Ehdotuksemme ovat nämä sivustot.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Mikä on takuusi tiedostojen palauttamisesta?
Se on vain bisnestä. Emme välitä sinusta ja tarjouksistasi, paitsi etujen saamisesta. Jos emme tee työtämme ja velvollisuuksiamme - kukaan ei tee yhteistyötä kanssamme. Se ei ole meidän etujemme mukaista.
Voit tarkistaa tiedostojen palautuskyvyn lähettämällä meille mitkä tahansa 2 tiedostoa, joissa on SIMPLE-pääte (jpg,xls,doc jne... ei tietokantoja!) ja pienikokoisia (max 1 mb), puramme niiden salauksen ja lähetämme takaisin. sinulle.
Se on takuumme.
----
Kuinka ottaa sinuun yhteyttä?
Tai ota meihin yhteyttä sähköpostitse:>>godgood55@tutanota.com<< tai >>alexgod5566@xyzmailpro.com<<
----
Miten maksuprosessi etenee maksun jälkeen?
Maksun jälkeen lähetämme sinulle salauksenpurkutyökalun oppaan mukana ja olemme kanssasi, kunnes viimeinen tiedosto on purettu.
----
Mitä tapahtuu, jos en maksa sinulle?
Jos et maksa meille, et pääse koskaan käsiksi tiedostoihisi, koska yksityinen avain on vain meidän käsissämme. Tämä kauppa ei ole meille tärkeä,
mutta se on sinulle tärkeää, koska et vain pääse käsiksi tiedostoihisi, vaan menetät myös aikaasi. Ja mitä enemmän aikaa kuluu, sitä enemmän menetät ja
Jos et maksa lunnaita, hyökkäämme yritykseesi uudelleen tulevaisuudessa.
----
Mitä suosituksia sinulla on?
- Älä koskaan muuta tiedostojen nimiä, jos haluat käsitellä tiedostoja, varmista, että teet niistä varmuuskopion. Jos tiedostoissa on ongelmia, emme ole niistä vastuussa.
- Älä koskaan työskentele välittäjäyritysten kanssa, koska ne veloittavat sinulta enemmän rahaa. Jos esimerkiksi pyydämme sinulta 50 000 dollaria, he kertovat sinulle 55 000 dollaria. Älä pelkää meitä, soita meille.
----
Hyvin tärkeä! Niille, joilla on kybervakuutus lunnasohjelmahyökkäyksiä vastaan.
Vakuutusyhtiöt vaativat sinua pitämään vakuutustietosi salassa, eli et koskaan maksa sopimuksessa määritettyä enimmäismäärää tai et maksa mitään, mikä häiritsee neuvotteluja.
Vakuutusyhtiö yrittää suistaa neuvottelut kaikin mahdollisin tavoin, jotta he voivat myöhemmin väittää, että sinulta evätään vakuutus, koska vakuutuksesi ei kata lunnaita.
Esimerkiksi yrityksesi on vakuutettu 10 miljoonalla dollarilla, kun hän neuvottelee vakuutusasiamiehesi kanssa lunnaista, jonka hän tarjoaa meille pienimmän mahdollisen summan, esimerkiksi 100 tuhatta dollaria,
me kieltäydymme vähäisestä summasta ja pyydämme esimerkiksi 15 miljoonan dollarin summaa, vakuutusasiamies ei koskaan tarjoa meille vakuutuksenne ylintä 10 miljoonan dollarin kynnystä.
Hän tekee mitä tahansa suistaakseen neuvottelut ja kieltäytyy maksamasta meille kokonaan ja jättää sinut rauhaan ongelmasi kanssa. Jos kerroit meille anonyymisti, että yrityksesi on vakuutettu 10 miljoonalla dollarilla ym
tärkeitä yksityiskohtia vakuutusturvasta, emme vaatisi enempää kuin 10 miljoonaa dollaria kirjeenvaihdossa vakuutusasiamiehen kanssa. Näin olisit välttänyt vuodon ja purkanut tietosi.
Mutta koska ovela vakuutusasiamies neuvottelee tarkoituksella ollakseen maksamatta vakuutuskorvausta, vain vakuutusyhtiö voittaa tässä tilanteessa. Välttääksesi kaiken tämän ja saadaksesi rahat vakuutuksesta,
Muista ilmoittaa meille nimettömästi vakuutusturvan saatavuudesta ja ehdoista, se hyödyttää sekä sinua että meitä, mutta ei hyödytä vakuutusyhtiötä. Köyhät multimiljonäärivakuutusyhtiöt eivät
nälkää eivätkä köyhdy sopimuksessa määritellyn enimmäissumman maksamisesta, koska kaikki tietävät, että sopimus on kalliimpi kuin rahaa, joten täyttäköön ehdot
vakuutussopimuksessasi määrätty vuorovaikutteemme ansiosta.
--------------------------------------------------- --------------------------------------------------- --------------------------------------------------- --------------------------------------------------- -----
Henkilöllisyystodistuksesi :
Sinun avaimesi :'
