HardBit 2.0-ransomware
HardBit, voor het eerst ontdekt in oktober 2022, is een ransomware-dreiging die is ontwikkeld om bedrijven en organisaties aan te vallen en slachtoffers af te persen met betalingen in de vorm van cryptocurrency om hun gegevens te ontsleutelen. Deze bedreigende software is sindsdien geëvolueerd naar de tweede versie, HardBit 2.0, die eind november 2022 werd waargenomen en zich in de latere maanden van 2022 en daarna bleef verspreiden. Deze ransomware werkt op dezelfde manier als andere moderne varianten door gevoelige gegevens te verzamelen zodra het een netwerk infiltreert voordat het zijn payload start om alle bestanden op het systeem te versleutelen. Details over de dreiging en de schadelijke mogelijkheden ervan zijn vrijgegeven in een rapport van malware-experts.
Inhoudsopgave
De HardBit 2.0 vraagt om gegevens over de cyberbeveiligingsverzekering van slachtoffers
In tegenstelling tot veel andere ransomware-cyberbendes, hebben de operators van HardBit geen speciale leksite, wat betekent dat slachtoffers niet worden bedreigd met de openbare openbaarmaking van hun verduisterde gegevens. De groep dreigt echter met verdere aanvallen als niet aan hun eisen wordt voldaan.
Om contact op te nemen met de HardBit-handlers, moeten slachtoffers de vooraf gedefinieerde losgeldbrief gebruiken die in de malwaredreiging is opgenomen. Deze notitie moedigt slachtoffers aan om contact met hen op te nemen via e-mail of het Tox instant messaging-platform voor onderhandelingen over hoeveel bitcoin ze moeten betalen voor de decoderingssleutel. Daarnaast wordt aan degenen met een cyberverzekering gevraagd om gegevens te delen, zodat hun eisen hierop kunnen worden aangepast.
De HardBit 2.0 Ransomware verwijdert back-ups en ondermijnt de beveiliging van apparaten
Om te voorkomen dat het wordt geanalyseerd in de sandbox-omgeving van het slachtoffer, verzamelt de HardBit Ransomware informatie over de host van het slachtoffer door gebruik te maken van webgebaseerd bedrijfsbeheer en Windows Management Instrumentation (WMI)-functies. De ransomware verkrijgt verschillende systeemdetails, zoals de geïnstalleerde hardwarecomponenten, netwerkadapterinstellingen, evenals IP-configuratie en MAC-adres, de fabrikant van het systeem en BIOS-versie, gebruikersnaam en computernaam en tijdzone-informatie.
Om hun merkidentiteit vast te stellen op versleutelde bestanden, plaatst de ransomware-payload een aangepast HardBit-bestandspictogram in de documentenmap van het slachtoffer. Bovendien registreert de ransomware een klasse in het Windows-register om de bestandsextensie '.hardbit2' te associëren met het verwijderde pictogram.
Als een gebruikelijke tactiek die wordt gebruikt door de meeste moderne ransomware-bedreigingen, neemt HardBit verschillende pre-encryptiemaatregelen om de beveiligingsstatus van de host van het slachtoffer te verminderen. De Shadow Volume Copy Service (VSS) wordt bijvoorbeeld verwijderd met behulp van de Service Control Manager om herstelpogingen te voorkomen. De catalogus met back-uphulpprogramma's van Windows wordt ook verwijderd, samen met eventuele schaduwkopieën, om herstelpogingen te dwarsbomen.
Om detectie en verstoring van het ransomwareproces te voorkomen, zijn verschillende Windows Defender Antivirus-functies uitgeschakeld door een reeks wijzigingen in het Windows-register. Deze uitgeschakelde functies omvatten sabotagebeveiliging, antispywaremogelijkheden, real-time gedragsmonitoring, real-time bescherming bij toegang en real-time processcanning.
Om ervoor te zorgen dat de HardBit Ransomware-payload automatisch wordt uitgevoerd telkens wanneer het systeem opnieuw wordt opgestart, wordt een versie van de ransomware gekopieerd naar de map 'Opstarten' van het slachtoffer. Als dit bestand nog niet aanwezig is, wordt het uitvoerbare bestand hernoemd om het legitieme uitvoerbare bestand van de servicehost na te bootsen, 'svchost.exe', om detectie te voorkomen.
Het coderingsproces en de eisen van HardBit 2.0 Ransomware
Na het bepalen van de beschikbare schijven en volumes op de computer van het slachtoffer, scant de HardBit-ransomware-payload de geïdentificeerde mappen en bestanden om alle gegevens te lokaliseren voor codering. Bestanden die zijn geselecteerd voor codering worden geopend en vervolgens overschreven, wat een tactiek is die wordt gebruikt om herstelpogingen te belemmeren. Deze techniek wordt gebruikt in plaats van versleutelde gegevens naar een nieuw bestand te schrijven en het origineel te verwijderen, wat een minder geavanceerde benadering is.
Nadat de bestanden zijn versleuteld, krijgen ze een schijnbaar willekeurige bestandsnaam, gevolgd door een identificator die een e-mailadres voor contact bevat, 'threatactor@example.tld' en de bestandsextensie '.hardbit2'. Bovendien worden een losgeldbrief in platte tekst en een HTML-applicatie (HTA) losgeldbrief geschreven naar de hoofdmap van de drive en alle mappen die versleutelde bestanden bevatten. Deze losgeldnota's geven aanwijzingen voor het betalen van het losgeld en het ontvangen van de decoderingssleutel.
Na voltooiing van het coderingsproces wordt een afbeeldingsbestand opgeslagen op het bureaublad van het slachtoffer en ingesteld als de systeemachtergrond.
De tekst van de eisen van HardBit 2.0 Ransomware is:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
wat is er gebeurd?
Al uw bestanden zijn gestolen en vervolgens versleuteld. Maar maak je geen zorgen, alles is veilig en wordt naar je teruggestuurd.
----
Hoe kan ik mijn bestanden terugkrijgen?
U moet ons betalen om de bestanden terug te krijgen. We hebben geen bank- of PayPal-rekeningen, u hoeft ons alleen via Bitcoin te betalen.
----
Hoe kan ik bitcoins kopen?
U kunt op alle gerenommeerde sites ter wereld bitcoins kopen en naar ons opsturen. Zoek gewoon hoe u bitcoins op internet kunt kopen. Onze suggestie is deze sites.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Wat is uw garantie om bestanden te herstellen?
Het is gewoon een bedrijf. Wij geven absoluut niet om u en uw deals, behalve om voordelen te krijgen. Als we ons werk en onze verplichtingen niet nakomen, zal niemand met ons samenwerken. Het is niet in ons belang.
Om de mogelijkheid van het retourneren van bestanden te controleren, kunt u ons 2 willekeurige bestanden sturen met SIMPLE-extensies (jpg, xls, doc, enz... geen databases!) en kleine formaten (max. 1 mb), we zullen ze decoderen en terugsturen aan jou.
Dat is onze garantie.
----
Hoe contact met u op te nemen?
Of neem contact met ons op via e-mail:>>godgood55@tutanota.com<< of >>alexgod5566@xyzmailpro.com<<
----
Hoe verloopt het betalingsproces na betaling?
Na betaling sturen we je de decoderingstool samen met de gids en we zullen bij je zijn tot het laatste bestand is gedecodeerd.
----
Wat gebeurt er als ik je niet betaal?
Als u ons niet betaalt, heeft u nooit toegang tot uw bestanden omdat de privésleutel alleen in onze handen is. Deze transactie is niet belangrijk voor ons,
maar het is belangrijk voor u, want u heeft niet alleen geen toegang tot uw bestanden, maar u verliest ook tijd. En hoe meer tijd verstrijkt, hoe meer je verliest en
Als u het losgeld niet betaalt, zullen we uw bedrijf in de toekomst opnieuw aanvallen.
----
Wat zijn uw aanbevelingen?
- Verander nooit de naam van de bestanden, als u de bestanden wilt manipuleren, zorg er dan voor dat u er een back-up van maakt. Als er een probleem is met de bestanden, zijn wij daar niet verantwoordelijk voor.
- Werk nooit met tussenbedrijven, want die vragen meer geld van je. Als we u bijvoorbeeld om 50.000 dollar vragen, zullen ze u 55.000 dollar vertellen. Wees niet bang voor ons, bel ons gewoon.
----
Erg belangrijk! Voor degenen die een cyberverzekering hebben tegen ransomware-aanvallen.
Verzekeringsmaatschappijen eisen dat u uw verzekeringsgegevens geheim houdt, dit is om nooit het maximale bedrag te betalen dat in het contract is vermeld of om helemaal niets te betalen, waardoor de onderhandelingen worden verstoord.
De verzekeringsmaatschappij zal op alle mogelijke manieren proberen de onderhandelingen te laten ontsporen, zodat ze later kunnen beweren dat u geen dekking krijgt omdat uw verzekering het losgeldbedrag niet dekt.
Uw bedrijf is bijvoorbeeld verzekerd voor 10 miljoen dollar, terwijl u met uw verzekeringsagent onderhandelt over het losgeld dat hij ons het laagst mogelijke bedrag zal bieden, bijvoorbeeld 100 duizend dollar,
wij weigeren het schamele bedrag en vragen bijvoorbeeld het bedrag van 15 miljoen dollar, de verzekeringsagent zal ons nooit de bovengrens van uw verzekering van 10 miljoen dollar aanbieden.
Hij zal er alles aan doen om de onderhandelingen te laten ontsporen en weigert ons volledig uit te betalen en u alleen te laten met uw probleem. Als u ons anoniem vertelde dat uw bedrijf verzekerd was voor $10 miljoen en andere
belangrijke details met betrekking tot verzekeringsdekking, zouden we niet meer dan $ 10 miljoen eisen in correspondentie met de verzekeringsagent. Op die manier had je een lek voorkomen en je informatie ontsleuteld.
Maar aangezien de stiekeme verzekeringsagent met opzet onderhandelt om de verzekeringsclaim niet te betalen, wint alleen de verzekeringsmaatschappij in deze situatie. Om dit alles te voorkomen en het geld op de verzekering te krijgen,
informeer ons zeker anoniem over de beschikbaarheid en voorwaarden van de verzekeringsdekking, het komt zowel u als ons ten goede, maar het komt de verzekeringsmaatschappij niet ten goede. Arme multimiljonairverzekeraars zullen dat niet doen
verhongeren en zullen niet armer worden van de betaling van het maximale bedrag dat in het contract is vermeld, omdat iedereen weet dat het contract duurder is dan geld, dus laat ze aan de voorwaarden voldoen
voorgeschreven in uw verzekeringscontract, dankzij onze interactie.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Je identiteitskaart :
Je sleutel :'
