HardBit 2.0 Ransomware

Unang na-detect noong Oktubre 2022, ang HardBit ay isang banta sa ransomware na binuo para i-target ang mga negosyo at organisasyon, nangikil sa mga biktima gamit ang mga pagbabayad sa anyo ng cryptocurrency para ma-decrypt ang kanilang data. Ang nagbabantang software na ito ay naging pangalawang bersyon nito, ang HardBit 2.0, na naobserbahan sa katapusan ng Nobyembre 2022 at patuloy na kumalat sa mga huling buwan ng 2022 at higit pa. Ang ransomware na ito ay gumagana nang katulad sa iba pang mga modernong variant sa pamamagitan ng pagkolekta ng sensitibong data sa sandaling makapasok ito sa isang network bago ilunsad ang payload nito upang i-encrypt ang lahat ng mga file sa system. Ang mga detalye tungkol sa banta at ang mga nakakapinsalang kakayahan nito ay inilabas sa isang ulat ng mga eksperto sa malware.

Humihingi ang HardBit 2.0 ng Mga Detalye ng Cyber Security Insurance ng mga Biktima

Hindi tulad ng maraming iba pang ransomware cybergangs, ang mga operator ng HardBit ay walang nakalaang leak site, ibig sabihin, ang mga biktima ay hindi nanganganib sa pampublikong pagkakalantad ng kanilang maling paggamit ng data. Gayunpaman, ang grupo ay nagbabanta ng karagdagang pag-atake kung ang kanilang mga kahilingan ay hindi matugunan.

Upang makipag-ugnayan sa mga humahawak ng HardBit, dapat gamitin ng mga biktima ang paunang natukoy na ransom note na nasa loob ng banta ng malware. Hinihikayat ng tala na ito ang mga biktima na makipag-ugnayan sa kanila sa pamamagitan ng email o sa Tox instant messaging platform para sa mga negosasyon hinggil sa kung magkano ang bitcoin na dapat nilang bayaran para sa decryption key. Bilang karagdagan dito, ang mga may mga patakaran sa cyber insurance ay hinihiling na magbahagi ng mga detalye upang ang kanilang mga kahilingan ay maiayos nang naaayon.

Tinatanggal ng HardBit 2.0 Ransomware ang mga Backup at Sinisira ang Seguridad ng Mga Device

Upang maiwasang masuri sa kapaligiran ng sandbox ng biktima, ang HardBit Ransomware ay nangongolekta ng impormasyon tungkol sa host ng biktima sa pamamagitan ng paggamit ng web-based na enterprise management at Windows Management Instrumentation (WMI) function. Ang ransomware ay nakakakuha ng iba't ibang mga detalye ng system tulad ng mga naka-install na bahagi ng hardware, mga setting ng network adapter, pati na rin ang IP configuration at MAC address, ang manufacturer ng system at bersyon ng BIOS, username at pangalan ng computer at impormasyon ng time zone.

Upang maitatag ang kanilang pagkakakilanlan ng tatak sa mga naka-encrypt na file, ang ransomware payload ay nag-drop ng isang custom na icon ng HardBit file sa folder ng mga dokumento ng biktima. Higit pa rito, ang ransomware ay nagrerehistro ng isang klase sa loob ng Windows Registry upang iugnay ang extension ng file na '.hardbit2' sa nalaglag na icon.

Bilang isang karaniwang taktika na ginagamit ng karamihan sa mga modernong banta ng ransomware, ang HardBit ay nagsasagawa ng ilang mga hakbang sa paunang pag-encrypt upang bawasan ang postura ng seguridad ng biktimang host. Halimbawa, ang Shadow Volume Copy Service (VSS) ay tinanggal gamit ang Service Control Manager upang maiwasan ang mga pagsisikap sa pagbawi. Ang Windows backup utility catalog ay inalis din, kasama ang anumang Shadow copies, upang hadlangan ang anumang mga pagtatangka sa pagbawi.

Upang maiwasan ang pagtuklas at pagkagambala sa proseso ng ransomware, ang iba't ibang mga feature ng Windows Defender Antivirus ay hindi pinagana sa pamamagitan ng isang serye ng mga pagbabago sa Windows Registry. Kasama sa mga hindi pinaganang feature na ito ang tamper protection, mga kakayahan sa anti-spyware, real-time na pagsubaybay sa gawi, real-time na proteksyon sa pag-access at real-time na pag-scan sa proseso.

Upang matiyak na awtomatikong tatakbo ang HardBit Ransomware payload sa tuwing magre-reboot ang system, isang bersyon ng ransomware ay kinokopya sa folder ng 'Startup' ng biktima. Kung wala pa ang file na ito, papalitan ang pangalan ng executable upang gayahin ang lehitimong service host executable file, 'svchost.exe,' upang maiwasang matukoy.

Ang Proseso ng Encryption at Mga Demand ng HardBit 2.0 Ransomware

Pagkatapos matukoy ang mga available na drive at volume sa makina ng biktima, ini-scan ng HardBit ransomware payload ang mga natukoy na direktoryo at file upang matukoy ang anumang data para sa pag-encrypt. Ang mga file na napili para sa pag-encrypt ay binuksan at pagkatapos ay ma-overwrite, na isang taktika na ginagamit upang hadlangan ang mga pagsisikap sa pagbawi. Ginagamit ang diskarteng ito sa halip na magsulat ng naka-encrypt na data sa isang bagong file at tanggalin ang orihinal, na isang hindi gaanong sopistikadong diskarte.

Kapag na-encrypt na ang mga file, papalitan ang pangalan ng mga ito ng isang tila random na pangalan ng file na sinusundan ng isang identifier na may kasamang email address sa pakikipag-ugnayan, 'threatactor@example.tld,' at ang '.hardbit2' na extension ng file. Bilang karagdagan, ang isang plain text ransom note at isang HTML application (HTA) ransom note ay isinulat sa root ng drive at lahat ng mga folder na naglalaman ng mga naka-encrypt na file. Ang mga ransom notes na ito ay nagbibigay ng mga direksyon kung paano magbayad ng ransom dee at tumanggap ng decryption key.

Sa pagkumpleto ng proseso ng pag-encrypt, isang image file ang ise-save sa desktop ng biktima at itatakda bilang wallpaper ng system.

Ang teksto ng mga hinihingi ng HardBit 2.0 Ransomware ay:

'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦

----

anong nangyari?

Ang lahat ng iyong mga file ay ninakaw at pagkatapos ay na-encrypt. Ngunit huwag mag-alala, ang lahat ay ligtas at ibabalik sa iyo.

----

Paano ko maibabalik ang aking mga file?

Kailangan mong bayaran kami para maibalik ang mga file. Wala kaming bank o paypal account, kailangan mo lang kaming bayaran sa pamamagitan ng Bitcoin.

----

Paano ako makakabili ng bitcoins?

Maaari kang bumili ng mga bitcoin mula sa lahat ng mga kagalang-galang na site sa mundo at ipadala ang mga ito sa amin. Search mo lang kung paano bumili ng bitcoins sa internet. Ang aming mungkahi ay ang mga site na ito.

>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<

----

Ano ang iyong garantiya upang maibalik ang mga file?

It's just a business. Talagang wala kaming pakialam sa iyo at sa iyong mga deal, maliban sa pagkuha ng mga benepisyo. Kung hindi natin gagawin ang ating trabaho at pananagutan - walang makikipagtulungan sa atin. Hindi ito sa ating mga interes.

Upang suriin ang kakayahan ng pagbabalik ng mga file, maaari kang magpadala sa amin ng anumang 2 file na may SIMPLE na extension(jpg,xls,doc, atbp... hindi mga database!) at mababa ang laki(max 1 mb), ide-decrypt namin ang mga ito at ibabalik sa iyo.

Iyan ang aming garantiya.

----

Paano makipag-ugnayan sa iyo?

O makipag-ugnayan sa amin sa pamamagitan ng email:>>godgood55@tutanota.com<< o >>alexgod5566@xyzmailpro.com<<

----

Paano ang proseso ng pagbabayad pagkatapos ng pagbabayad?

Pagkatapos ng pagbabayad, ipapadala namin sa iyo ang tool sa pag-decryption kasama ang gabay at sasamahan ka namin hanggang sa ma-decrypt ang huling file.

----

Ano ang mangyayari kung hindi kita binayaran?

Kung hindi mo kami magbabayad, hindi ka magkakaroon ng access sa iyong mga file dahil ang pribadong key ay nasa aming mga kamay lamang. Ang transaksyong ito ay hindi mahalaga sa amin,

ngunit ito ay mahalaga sa iyo, dahil hindi ka lamang magkaroon ng access sa iyong mga file, ngunit nawawalan ka rin ng oras. At habang lumilipas ang oras, mas lalo kang mawawala at

Kung hindi ka magbabayad ng ransom, muli naming aatakehin ang iyong kumpanya sa hinaharap.

----

Ano ang iyong mga rekomendasyon?

- Huwag kailanman baguhin ang pangalan ng mga file, kung gusto mong manipulahin ang mga file, siguraduhing gumawa ka ng backup ng mga ito. Kung may problema sa mga file, hindi kami mananagot para dito.

- Huwag kailanman makipagtulungan sa mga kumpanyang tagapamagitan, dahil naniningil sila ng mas maraming pera mula sa iyo. Halimbawa, kung hihingi kami sa iyo ng 50,000 dollars, sasabihin nila sa iyo ang 55,000 dollars. Huwag kang matakot sa amin, tawagan mo lang kami.

----

Napaka importante! Para sa mga may cyber insurance laban sa ransomware attacks.

Hinihiling sa iyo ng mga kompanya ng seguro na panatilihing lihim ang iyong impormasyon sa seguro, ito ay ang hindi kailanman magbayad ng pinakamataas na halagang tinukoy sa kontrata o huwag magbayad ng kahit ano, na nakakagambala sa mga negosasyon.

Susubukan ng kompanya ng seguro na idiskaril ang mga negosasyon sa anumang paraan na magagawa nila upang sa kalaunan ay makapagtalo sila na hindi ka masakop dahil hindi saklaw ng iyong insurance ang halaga ng ransom.

Halimbawa, ang iyong kumpanya ay nakaseguro ng 10 milyong dolyar, habang nakikipag-usap sa iyong ahente ng seguro tungkol sa pantubos na iaalok niya sa amin ang pinakamababang posibleng halaga, halimbawa 100 libong dolyar,

tatanggihan namin ang maliit na halaga at hihilingin halimbawa ang halagang 15 milyong dolyar, hindi kailanman iaalok sa amin ng ahente ng seguro ang pinakamataas na threshold ng iyong insurance na 10 milyong dolyar.

Gagawin niya ang lahat para madiskaril ang mga negosasyon at tumangging bayaran kami nang buo at hahayaan kang mag-isa sa iyong problema. Kung sinabi mo sa amin nang hindi nagpapakilala na ang iyong kumpanya ay nakaseguro sa halagang $10 milyon at iba pa

mahahalagang detalye tungkol sa saklaw ng seguro, hindi kami hihingi ng higit sa $10 milyon bilang pakikipag-ugnayan sa ahente ng seguro. Sa ganoong paraan sana naiwasan mo ang isang pagtagas at na-decrypt ang iyong impormasyon.

Ngunit dahil ang palihim na ahente ng seguro ay sadyang nakipagnegosasyon upang hindi mabayaran ang claim sa seguro, tanging ang kompanya ng seguro ang nanalo sa sitwasyong ito. Upang maiwasan ang lahat ng ito at makakuha ng pera sa insurance,

siguraduhing ipaalam sa amin nang hindi nagpapakilala ang tungkol sa pagkakaroon at mga tuntunin ng saklaw ng seguro, ito ay kapwa nakikinabang sa iyo at sa amin, ngunit hindi ito nakikinabang sa kompanya ng seguro. Ang mga mahihirap na multimillionaire na tagaseguro ay hindi

gutom at hindi magiging mas mahirap mula sa pagbabayad ng maximum na halaga na tinukoy sa kontrata, dahil alam ng lahat na ang kontrata ay mas mahal kaysa sa pera, kaya hayaan silang matupad ang mga kondisyon

inireseta sa iyong kontrata sa seguro, salamat sa aming pakikipag-ugnayan.

------------------------------------------------- ------------------------------------------------- ------------------------------------------------- ------------------------------------------------- -----

Iyong ID:

Susi mo :'