HardBit 2.0 Ransomware
Вперше виявлений у жовтні 2022 року HardBit — це загроза-вимагач, розроблена для націлювання на підприємства та організації, вимагаючи від жертв платежі у формі криптовалюти за розшифровку їхніх даних. З тих пір це загрозливе програмне забезпечення розвинулося у свою другу версію, HardBit 2.0, яка була помічена наприкінці листопада 2022 року та продовжувала поширюватися протягом наступних місяців 2022 року та далі. Це програмне забезпечення-вимагач працює так само, як і інші сучасні варіанти, збираючи конфіденційні дані, щойно проникає в мережу, перш ніж запускати корисне навантаження для шифрування всіх файлів у системі. Подробиці про загрозу та її шкідливі можливості були опубліковані у звіті експертів зі зловмисного програмного забезпечення.
Зміст
HardBit 2.0 запитує деталі страхування кібербезпеки потерпілих
На відміну від багатьох інших кібербанд програм-вимагачів, оператори HardBit не мають спеціального сайту для витоку, тобто жертвам не загрожує оприлюднення їхніх незаконно привласнених даних. Однак група погрожує подальшими нападами, якщо їхні вимоги не будуть виконані.
Щоб зв’язатися з обробниками HardBit, жертви повинні використати попередньо визначену записку про викуп, яка міститься в загрозі зловмисного програмного забезпечення. Ця примітка закликає жертв зв’язуватися з ними електронною поштою або через платформу обміну миттєвими повідомленнями Tox для переговорів щодо того, скільки біткойнів вони повинні заплатити за ключ дешифрування. На додаток до цього тих, хто має поліси кіберстрахування, просять поділитися деталями, щоб їхні вимоги можна було відповідно скоригувати.
Програма-вимагач HardBit 2.0 видаляє резервні копії та підриває безпеку пристроїв
Щоб уникнути аналізу в середовищі пісочниці жертви, HardBit Ransomware збирає інформацію про хост жертви, використовуючи веб-функції керування підприємством і Windows Management Instrumentation (WMI). Програмне забезпечення-вимагач отримує різні відомості про систему, такі як встановлені апаратні компоненти, налаштування мережевого адаптера, а також IP-конфігурацію та MAC-адресу, виробника системи та версію BIOS, ім’я користувача та ім’я комп’ютера та інформацію про часовий пояс.
Щоб визначити ідентифікацію свого бренду в зашифрованих файлах, програмне забезпечення-вимагач скидає спеціальний значок файлу HardBit у папку документів жертви. Крім того, програмне забезпечення-вимагач реєструє клас у реєстрі Windows, щоб пов’язати розширення файлу «.hardbit2» із скинутим значком.
Як звичайна тактика, яка використовується для більшості сучасних загроз програм-вимагачів, HardBit вживає кількох заходів попереднього шифрування, щоб знизити рівень безпеки жертви. Наприклад, служба тіньового копіювання томів (VSS) видаляється за допомогою диспетчера керування службами, щоб запобігти спробам відновлення. Також видаляється каталог утиліт резервного копіювання Windows разом із усіма тіньовими копіями, щоб перешкодити будь-яким спробам відновлення.
Щоб уникнути виявлення та переривання процесу програм-вимагачів, різні функції Windows Defender Antivirus вимкнено через серію змін реєстру Windows. Ці відключені функції включають захист від несанкціонованого доступу, можливості захисту від шпигунського програмного забезпечення, моніторинг поведінки в режимі реального часу, захист під час доступу в режимі реального часу та сканування процесів у режимі реального часу.
Щоб переконатися, що корисне навантаження HardBit Ransomware запускається автоматично щоразу, коли система перезавантажується, версія програми-вимагача копіюється в папку «Автозавантаження» жертви. Якщо цього файлу ще немає, виконуваний файл буде перейменовано, щоб імітувати законний виконуваний файл хоста служби, "svchost.exe", щоб уникнути виявлення.
Процес шифрування та вимоги програми-вимагача HardBit 2.0
Після визначення доступних дисків і томів на комп’ютері жертви програма-вимагач HardBit сканує ідентифіковані каталоги та файли, щоб визначити будь-які дані для шифрування. Файли, вибрані для шифрування, відкриваються, а потім перезаписуються, що є тактикою, яка використовується для перешкоджання спробам відновлення. Ця техніка використовується замість запису зашифрованих даних у новий файл і видалення оригіналу, що є менш складним підходом.
Після того, як файли зашифровано, вони перейменовуються з начебто випадковим ім’ям файлу, за яким слідує ідентифікатор, який включає контактну електронну адресу, «threatactor@example.tld» і розширення файлу «.hardbit2». Крім того, повідомлення про викуп у звичайному тексті та повідомлення про викуп у програмі HTML (HTA) записуються в корінь диска та всі папки, що містять зашифровані файли. У цих записках про викуп містяться вказівки щодо того, як сплатити викуп і отримати ключ розшифровки.
Після завершення процесу шифрування файл зображення зберігається на робочому столі жертви та встановлюється як шпалери системи.
Текст вимог HardBit 2.0 Ransomware такий:
'¦¦¦¦¦ЖОРСТКЕ ПРОГРАМНЕ ВИГАЙНИЦЕ¦¦¦¦¦
----
що сталося?
Усі ваші файли викрадено, а потім зашифровано. Але не хвилюйтеся, все в безпеці і вам буде повернуто.
----
Як я можу повернути свої файли?
Ви повинні заплатити нам, щоб отримати файли назад. У нас немає банківських рахунків чи рахунків PayPal, ви платите нам лише через біткойн.
----
Як я можу купити біткойни?
Ви можете купити біткойни на всіх авторитетних сайтах у світі та надіслати їх нам. Просто знайдіть в Інтернеті, як купити біткойни. Наша пропозиція - ці сайти.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Яка ваша гарантія відновлення файлів?
Це просто бізнес. Нам абсолютно байдужі ви та ваші угоди, окрім отримання вигод. Якщо ми не виконуємо свою роботу і зобов’язання – ніхто з нами не буде співпрацювати. Це не в наших інтересах.
Щоб перевірити здатність повертати файли, ви можете надіслати нам будь-які 2 файли з ПРОСТИМИ розширеннями (jpg, xls, doc, тощо... не бази даних!) і малими розмірами (макс. 1 мб), ми розшифруємо їх і надішлемо назад тобі.
Це наша гарантія.
----
Як з вами зв'язатися?
Або зв'яжіться з нами електронною поштою:>>godgood55@tutanota.com<< або >>alexgod5566@xyzmailpro.com<<
----
Яким буде процес оплати після оплати?
Після оплати ми надішлемо вам інструмент дешифрування разом із посібником і будемо з вами, поки не буде розшифровано останній файл.
----
Що станеться, якщо я тобі не заплачу?
Якщо ви не заплатите нам, ви ніколи не матимете доступу до своїх файлів, оскільки закритий ключ лише в наших руках. Ця операція для нас не важлива,
але це важливо для вас, тому що ви не тільки не маєте доступу до своїх файлів, але й втрачаєте час. І чим більше часу пройде, тим більше ви втратите і
Якщо ви не заплатите викуп, ми знову атакуємо вашу компанію в майбутньому.
----
Які ваші рекомендації?
- Ніколи не змінюйте назви файлів, якщо ви хочете маніпулювати файлами, переконайтеся, що ви створили їх резервні копії. Якщо є проблеми з файлами, ми не несемо за це відповідальності.
- Ніколи не працюйте з компаніями-посередниками, тому що вони беруть з вас більше грошей. Наприклад, якщо ми попросимо у вас 50 000 доларів, вам скажуть 55 000 доларів. Не бійтеся нас, просто телефонуйте.
----
Дуже важливо! Для тих, хто має кіберстрахування від атак програм-вимагачів.
Страхові компанії вимагають від вас зберігати інформацію про страхування в таємниці, тобто ніколи не платити максимальну суму, зазначену в договорі, або взагалі нічого не платити, що зриває переговори.
Страхова компанія намагатиметься зірвати переговори будь-яким можливим способом, щоб пізніше вони могли стверджувати, що вам буде відмовлено в покритті, оскільки ваша страховка не покриває суму викупу.
Наприклад, ваша компанія застрахована на 10 мільйонів доларів, при переговорах з вашим страховим агентом про викуп він запропонує нам найменшу можливу суму, наприклад 100 тисяч доларів,
ми відмовимося від мізерної суми і попросимо, наприклад, суму в 15 мільйонів доларів, страховий агент ніколи не запропонує нам верхнього порогу вашої страховки в 10 мільйонів доларів.
Він зробить усе, щоб зірвати переговори, відмовиться повністю виплатити нам і залишить вас наодинці з вашою проблемою. Якщо ви анонімно повідомили нам, що ваша компанія була застрахована на 10 мільйонів доларів тощо
важливі деталі щодо страхового покриття, ми не будемо вимагати понад 10 мільйонів доларів у листуванні зі страховим агентом. Таким чином ви б уникли витоку та розшифрували вашу інформацію.
Але оскільки підступний страховий агент навмисно домовляється, щоб не платити за страховим відшкодуванням, у цій ситуації виграє лише страхова компанія. Щоб уникнути всього цього і отримати гроші по страховці,
обов'язково повідомте нам анонімно про наявність та умови страхового покриття, це вигідно і вам, і нам, але не вигідно страховій компанії. Бідні страхувальники-мультимільйонери не будуть
голодують і не стануть біднішими від сплати максимальної суми, зазначеної в договорі, бо всі знають, що контракт дорожчий за гроші, тому нехай виконують умови
прописані у вашому договорі страхування, завдяки нашій взаємодії.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Ваш ID:
Ваш ключ:'
