Hardbit 2.0 Ransomware
Detectado pela primeira vez em outubro de 2022, o HardBit é uma ameaça de ransomware que foi desenvolvida para atingir empresas e organizações, extorquindo vítimas com pagamentos na forma de criptomoeda para que seus dados sejam descriptografados. Desde então, esse software ameaçador evoluiu para sua segunda versão, HardBit 2.0, que foi observada no final de novembro de 2022 e continuou a se espalhar nos últimos meses de 2022 e além. Este ransomware opera de forma semelhante a outras variantes modernas, coletando dados confidenciais assim que se infiltra em uma rede antes de lançar sua carga útil para criptografar todos os arquivos no sistema. Detalhes sobre a ameaça e suas capacidades prejudiciais foram divulgados em um relatório de especialistas em malware.
Índice
O HardBit 2.0 Solicita Detalhes do Seguro de Segurança Cibernética das Vítimas
Ao contrário de muitas outras gangues cibernéticas de ransomware, os operadores do HardBit não têm um site de vazamento dedicado, o que significa que as vítimas não são ameaçadas com a exposição pública de seus dados desviados. No entanto, o grupo ameaça novos ataques caso suas demandas não sejam atendidas.
Para entrar em contato com os manipuladores do HardBit, as vítimas devem usar a nota de resgate predefinida contida na ameaça de malware. Esta nota incentiva as vítimas a contatá-los por e-mail ou pela plataforma de mensagens instantâneas Tox para negociações sobre quanto bitcoin devem pagar pela chave de descriptografia. Além disso, aqueles com apólices de seguro cibernético são solicitados a compartilhar detalhes para que suas demandas possam ser ajustadas de acordo.
O HardBit 2.0 Ransomware Exclui Backups e Mina a Segurança dos Dispositivos
Para evitar ser analisado no ambiente de sandbox da vítima, o HardBit Ransomware coleta informações sobre o host da vítima, utilizando o gerenciamento empresarial baseado na Web e as funções do Windows Management Instrumentation (WMI). O ransomware obtém vários detalhes do sistema, como componentes de hardware instalados, configurações do adaptador de rede, bem como configuração de IP e endereço MAC, fabricante do sistema e versão do BIOS, nome de usuário e nome do computador e informações de fuso horário.
Para estabelecer sua identidade de marca em arquivos criptografados, a carga útil do ransomware insere um ícone de arquivo HardBit personalizado na pasta de documentos da vítima. Além disso, o ransomware registra uma classe no Registro do Windows para associar a extensão de arquivo '.hardbit2' ao ícone descartado.
Como uma tática comum empregada pela maioria das ameaças de ransomware modernas, o HardBit toma várias medidas de pré-criptografia para reduzir a postura de segurança do host da vítima. Por exemplo, o Shadow Volume Copy Service (VSS) é excluído usando o Service Control Manager para evitar esforços de recuperação. O catálogo do utilitário de backup do Windows também é removido, juntamente com quaisquer cópias de sombra, para impedir qualquer tentativa de recuperação.
Para evitar a detecção e a interrupção do processo de ransomware, vários recursos do Windows Defender Antivirus são desativados por meio de uma série de alterações no Registro do Windows. Esses recursos desativados incluem proteção contra violação, recursos anti-spyware, monitoramento comportamental em tempo real, proteção ao acessar em tempo real e verificação de processo em tempo real.
Para garantir que a carga útil do HardBit Ransomware seja executada automaticamente toda vez que o sistema for reinicializado, uma versão do ransomware é copiada para a pasta 'Inicialização' da vítima. Se esse arquivo ainda não estiver presente, o executável será renomeado para imitar o arquivo executável do host de serviço legítimo, 'svchost.exe', para evitar ser detectado.
O Processo de Criptografia e as Exigências do HardBit 2.0 Ransomware
Depois de determinar as unidades e volumes disponíveis na máquina da vítima, a carga útil do ransomware HardBit verifica os diretórios e arquivos identificados para identificar quaisquer dados para criptografia. Os arquivos que foram selecionados para criptografia são abertos e substituídos, o que é uma tática usada para dificultar os esforços de recuperação. Essa técnica é usada em vez de gravar dados criptografados em um novo arquivo e excluir o original, que é uma abordagem menos sofisticada.
Depois que os arquivos são criptografados, eles são renomeados com um nome de arquivo aparentemente aleatório, seguido por um identificador que inclui um endereço de e-mail de contato, 'threatactor@example.tld' e a extensão de arquivo '.hardbit2'. Além disso, uma nota de resgate em texto simples e uma nota de resgate de aplicativo HTML (HTA) são gravadas na raiz da unidade e em todas as pastas que contêm arquivos criptografados. Essas notas de resgate fornecem instruções sobre como pagar o resgate e receber a chave de descriptografia.
Ao concluir o processo de criptografia, um arquivo de imagem é salvo na área de trabalho da vítima e definido como papel de parede do sistema.
O texto das exigências do HardBit 2.0 Ransomware é:
'¦¦¦¦¦HARBIT RANSOMWARE¦¦¦¦¦
----
o que aconteceu?
Todos os seus arquivos foram roubados e criptografados. Mas não se preocupe, tudo está seguro e será devolvido para você.
----
Como posso recuperar meus arquivos?
Você tem que nos pagar para recuperar os arquivos. Não temos contas bancárias ou paypal, você só precisa nos pagar via Bitcoin.
----
Como posso comprar bitcoins?
Você pode comprar bitcoins de todos os sites conceituados do mundo e enviá-los para nós. Basta pesquisar como comprar bitcoins na internet. Nossa sugestão são esses sites.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Qual é a sua garantia para restaurar arquivos?
É apenas um negócio. Nós absolutamente não nos importamos com você e seus negócios, exceto obter benefícios. Se não fizermos nosso trabalho e responsabilidades - ninguém cooperará conosco. Não é do nosso interesse.
Para verificar a capacidade de retornar arquivos, você pode nos enviar quaisquer 2 arquivos com extensões SIMPLES (jpg, xls, doc, etc... não bancos de dados!) para você.
Essa é a nossa garantia.
----
Como entrar em contato com você?
Ou entre em contato conosco por e-mail: >>godgood55@tutanota.com<< ou >>alexgod5566@xyzmailpro.com<<
----
Como será o processo de pagamento após o pagamento?
Após o pagamento, enviaremos a ferramenta de descriptografia junto com o guia e ficaremos com você até que o último arquivo seja descriptografado.
----
O que acontece se eu não te pagar?
Se você não nos pagar, você nunca terá acesso aos seus arquivos porque a chave privada está apenas em nossas mãos. Esta transação não é importante para nós,
mas é importante para você, porque além de não ter acesso aos seus arquivos, você também perde tempo. E quanto mais o tempo passa, mais você vai perder e
Se você não pagar o resgate, atacaremos sua empresa novamente no futuro.
----
Quais são suas recomendações?
- Nunca altere o nome dos arquivos, se quiser manipular os arquivos, certifique-se de fazer um backup deles. Se houver algum problema com os arquivos, não somos responsáveis por isso.
- Nunca trabalhe com empresas intermediárias, pois elas cobram mais dinheiro de você. Por exemplo, se pedirmos 50.000 dólares, eles dirão 55.000 dólares. Não tenha medo de nós, apenas ligue para nós.
----
Muito importante! Para quem tem seguro cibernético contra ataques de ransomware.
As seguradoras exigem que você mantenha suas informações de seguro em segredo, ou seja, nunca pague o valor máximo especificado no contrato ou não pague nada, atrapalhando as negociações.
A seguradora tentará atrapalhar as negociações de todas as maneiras possíveis, para que possam argumentar posteriormente que você terá cobertura negada porque seu seguro não cobre o valor do resgate.
Por exemplo, sua empresa está segurada por 10 milhões de dólares, ao negociar com seu agente de seguros sobre o resgate, ele nos oferecerá o menor valor possível, por exemplo 100 mil dólares,
recusaremos o valor irrisório e pediremos, por exemplo, o valor de 15 milhões de dólares, o agente de seguros nunca nos oferecerá o limite máximo do seu seguro de 10 milhões de dólares.
Ele fará qualquer coisa para atrapalhar as negociações e se recusar a nos pagar completamente e deixar você sozinho com seu problema. Se você nos disse anonimamente que sua empresa estava segurada por $ 10 milhões e outros
detalhes importantes sobre cobertura de seguro, não exigimos mais de US$ 10 milhões em correspondência com o agente de seguros. Dessa forma, você teria evitado um vazamento e descriptografado suas informações.
Mas como o sorrateiro agente de seguros negocia propositalmente para não pagar pelo sinistro, apenas a seguradora ganha nessa situação. Para evitar tudo isso e conseguir o dinheiro do seguro,
certifique-se de nos informar anonimamente sobre a disponibilidade e os termos da cobertura do seguro, isso beneficia você e nós, mas não beneficia a companhia de seguros. Pobres seguradoras multimilionárias não
passar fome e não ficar mais pobre com o pagamento do valor máximo estipulado no contrato, pois todos sabem que o contrato é mais caro que o dinheiro, então que cumpram as condições
prescrito no seu contrato de seguro, graças à nossa interação.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Sua identificação :
Sua chave :'
