Hardbit 2.0 ransomware
Rilevato per la prima volta nell'ottobre 2022, HardBit è una minaccia ransomware che è stata sviluppata per colpire aziende e organizzazioni, estorcendo alle vittime pagamenti sotto forma di criptovaluta affinché i loro dati vengano decrittografati. Da allora questo software minaccioso si è evoluto nella sua seconda versione, HardBit 2.0, che è stata osservata verso la fine di novembre 2022 e ha continuato a diffondersi negli ultimi mesi del 2022 e oltre. Questo ransomware funziona in modo simile ad altre varianti moderne raccogliendo dati sensibili non appena si infiltra in una rete prima di lanciare il suo payload per crittografare tutti i file sul sistema. I dettagli sulla minaccia e le sue capacità dannose sono stati rilasciati in un rapporto di esperti di malware.
Sommario
HardBit 2.0 chiede i dettagli dell'assicurazione per la sicurezza informatica delle vittime
A differenza di molti altri cybergang ransomware, gli operatori di HardBit non dispongono di un sito di fuga dedicato, il che significa che le vittime non sono minacciate dall'esposizione pubblica dei loro dati sottratti. Tuttavia, il gruppo minaccia ulteriori attacchi se le loro richieste non dovessero essere soddisfatte.
Per contattare i gestori di HardBit, le vittime devono utilizzare la richiesta di riscatto predefinita contenuta nella minaccia malware. Questa nota incoraggia le vittime a contattarle via e-mail o tramite la piattaforma di messaggistica istantanea Tox per negoziare quanto bitcoin dovrebbero pagare per la chiave di decrittazione. Inoltre, a coloro che hanno polizze assicurative informatiche viene chiesto di condividere i dettagli in modo che le loro richieste possano essere adeguate di conseguenza.
Il ransomware HardBit 2.0 elimina i backup e compromette la sicurezza dei dispositivi
Per evitare di essere analizzato nell'ambiente sandbox della vittima, HardBit Ransomware raccoglie informazioni sull'host della vittima utilizzando la gestione aziendale basata sul Web e le funzioni di Windows Management Instrumentation (WMI). Il ransomware ottiene vari dettagli di sistema come i componenti hardware installati, le impostazioni della scheda di rete, nonché la configurazione IP e l'indirizzo MAC, il produttore del sistema e la versione del BIOS, il nome utente e il nome del computer e le informazioni sul fuso orario.
Per stabilire l'identità del proprio marchio sui file crittografati, il payload del ransomware rilascia un'icona di file HardBit personalizzata nella cartella dei documenti della vittima. Inoltre, il ransomware registra una classe all'interno del registro di Windows per associare l'estensione del file ".hardbit2" all'icona rilasciata.
Come tattica comune impiegata dalla maggior parte delle moderne minacce ransomware, HardBit adotta diverse misure di pre-crittografia per ridurre la posizione di sicurezza dell'host vittima. Ad esempio, Shadow Volume Copy Service (VSS) viene eliminato utilizzando Service Control Manager per impedire gli sforzi di ripristino. Anche il catalogo dell'utilità di backup di Windows viene rimosso, insieme a eventuali copie shadow, per contrastare qualsiasi tentativo di ripristino.
Per evitare il rilevamento e l'interruzione del processo ransomware, varie funzionalità di Windows Defender Antivirus vengono disabilitate tramite una serie di modifiche al registro di Windows. Queste funzionalità disabilitate includono protezione antimanomissione, funzionalità anti-spyware, monitoraggio comportamentale in tempo reale, protezione in tempo reale all'accesso e scansione dei processi in tempo reale.
Per garantire che il payload HardBit Ransomware venga eseguito automaticamente ogni volta che il sistema si riavvia, una versione del ransomware viene copiata nella cartella "Avvio" della vittima. Se questo file non è già presente, l'eseguibile viene rinominato per imitare il file eseguibile dell'host del servizio legittimo, "svchost.exe", per evitare di essere rilevato.
Il processo di crittografia e le richieste di HardBit 2.0 Ransomware
Dopo aver determinato le unità e i volumi disponibili sulla macchina della vittima, il payload del ransomware HardBit esegue la scansione delle directory e dei file identificati per individuare eventuali dati da crittografare. I file che sono stati selezionati per la crittografia vengono aperti e quindi sovrascritti, una tattica utilizzata per ostacolare gli sforzi di recupero. Questa tecnica viene utilizzata invece di scrivere dati crittografati in un nuovo file ed eliminare l'originale, che è un approccio meno sofisticato.
Una volta crittografati, i file vengono rinominati con un nome file apparentemente casuale seguito da un identificatore che include un indirizzo e-mail di contatto, "threatactor@example.tld" e l'estensione file ".hardbit2". Inoltre, una nota di riscatto in testo normale e una nota di riscatto dell'applicazione HTML (HTA) vengono scritte nella radice dell'unità e in tutte le cartelle contenenti file crittografati. Queste note di riscatto forniscono indicazioni su come pagare il riscatto e ricevere la chiave di decrittazione.
Dopo aver completato il processo di crittografia, un file immagine viene salvato sul desktop della vittima e impostato come sfondo del sistema.
Il testo delle richieste di HardBit 2.0 Ransomware è:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
quello che è successo?
Tutti i tuoi file sono stati rubati e quindi crittografati. Ma non preoccuparti, tutto è al sicuro e ti verrà restituito.
----
Come posso recuperare i miei file?
Devi pagarci per riavere i file. Non abbiamo conti bancari o paypal, devi solo pagarci tramite Bitcoin.
----
Come posso acquistare bitcoin?
Puoi acquistare bitcoin da tutti i siti affidabili del mondo e inviarceli. Basta cercare come acquistare bitcoin su Internet. Il nostro suggerimento sono questi siti.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/it-IT/<<
----
Qual è la tua garanzia per ripristinare i file?
È solo un affare. Non ci interessa assolutamente di te e delle tue offerte, tranne ottenere vantaggi. Se non facciamo il nostro lavoro e le nostre responsabilità, nessuno collaborerà con noi. Non è nei nostri interessi.
Per verificare la capacità di restituzione dei file, potete inviarci 2 file qualsiasi con estensioni SEMPLICI (jpg, xls, doc, ecc... non database!) e dimensioni ridotte (max 1 mb), provvederemo a decodificarli e rispedirli a te.
Questa è la nostra garanzia.
----
Come contattare con voi?
Oppure contattaci via e-mail:>>godgood55@tutanota.com<< o >>alexgod5566@xyzmailpro.com<<
----
Come sarà il processo di pagamento dopo il pagamento?
Dopo il pagamento, ti invieremo lo strumento di decrittazione insieme alla guida e saremo con te fino alla decrittazione dell'ultimo file.
----
Cosa succede se non ti pago?
Se non ci paghi, non avrai mai accesso ai tuoi file perché la chiave privata è solo nelle nostre mani. Questa transazione non è importante per noi,
ma è importante per te, perché non solo non hai accesso ai tuoi file, ma perdi anche tempo. E più passa il tempo, più perderai e
Se non paghi il riscatto, attaccheremo nuovamente la tua azienda in futuro.
----
Quali sono i tuoi consigli?
- Non cambiare mai il nome dei file, se vuoi manipolare i file, assicurati di farne un backup. Se c'è un problema con i file, non ne siamo responsabili.
- Non lavorare mai con società intermediarie, perché ti fanno pagare più soldi. Ad esempio, se ti chiediamo 50.000 dollari, ti diranno 55.000 dollari. Non aver paura di noi, chiamaci.
----
Molto importante! Per coloro che dispongono di un'assicurazione informatica contro gli attacchi ransomware.
Le compagnie assicurative ti richiedono di mantenere segrete le informazioni sulla tua assicurazione, questo per non pagare mai l'importo massimo specificato nel contratto o per non pagare nulla, interrompendo le trattative.
La compagnia assicurativa cercherà di far deragliare le negoziazioni in ogni modo possibile in modo che possano in seguito sostenere che ti verrà negata la copertura perché la tua assicurazione non copre l'importo del riscatto.
Ad esempio la tua azienda è assicurata per 10 milioni di dollari, mentre trattando con il tuo agente assicurativo sul riscatto ci offrirà la cifra più bassa possibile, ad esempio 100 mila dollari,
rifiuteremo l'importo irrisorio e chiederemo ad esempio l'importo di 15 milioni di dollari, l'agente assicurativo non ci offrirà mai la soglia massima della tua assicurazione di 10 milioni di dollari.
Farà qualsiasi cosa per far deragliare i negoziati e si rifiuterà di pagarci completamente e ti lascerà solo con il tuo problema. Se ci dicessi anonimamente che la tua azienda era assicurata per 10 milioni di dollari e altro
dettagli importanti riguardanti la copertura assicurativa, non chiederemmo più di $ 10 milioni in corrispondenza con l'agente assicurativo. In questo modo avresti evitato una fuga di notizie e decifrato le tue informazioni.
Ma poiché il subdolo agente assicurativo negozia di proposito per non pagare la richiesta di risarcimento, in questa situazione vince solo la compagnia assicurativa. Per evitare tutto questo e ottenere i soldi dell'assicurazione,
assicurati di informarci in forma anonima sulla disponibilità e sui termini della copertura assicurativa, avvantaggia sia te che noi, ma non avvantaggia la compagnia assicurativa. I poveri assicuratori multimilionari non lo faranno
muoiono di fame e non diventeranno più poveri dal pagamento dell'importo massimo specificato nel contratto, perché tutti sanno che il contratto è più costoso del denaro, quindi lascia che soddisfino le condizioni
prescritto nel tuo contratto assicurativo, grazie alla nostra interazione.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
La tua carta d'identità :
La tua chiave :'
