Το HardBit ransomware συνεχίζει να εξελίσσεται ως σοβαρή απειλή για οργανισμούς παγκοσμίως. Η τελευταία έκδοση, το HardBit 4.0, εμφανίστηκε ως μια αναβαθμισμένη παραλλαγή ενός στελέχους που είναι ενεργό από το 2022, φέρνοντας μαζί του πιο προηγμένα χαρακτηριστικά και βελτιωμένες τεχνικές για την αποφυγή ανίχνευσης.
Αυτή η νεότερη επανάληψη αντιπροσωπεύει ένα σημαντικό βήμα προς τα εμπρός στην ικανότητα του ransomware να αποφεύγει τα μέτρα ασφαλείας διατηρώντας παράλληλα τον έλεγχο των μολυσμένων συστημάτων.
Σε αντίθεση με πολλές ανταγωνιστικές ομάδες ransomware, οι χειριστές του HardBit δεν διατηρούν επί του παρόντος δημόσιο ιστότοπο διαρροής δεδομένων για τακτικές διπλού εκβιασμού, αλλά επικεντρώνονται αποκλειστικά στις απαιτήσεις λύτρων που βασίζονται στην κρυπτογράφηση.
Η αλυσίδα επίθεσης ξεκινά με τους παράγοντες απειλών που στοχεύουν ευάλωτα σημεία εισόδου στην υποδομή δικτύου.
Οι αναλυτές του Picus Security εντόπισαν ότι οι ηθοποιοί του HardBit 4.0 δημιουργούν αρχική πρόσβαση μέσω επιθέσεων ωμής βίας εναντίον ανοικτών υπηρεσιών Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Επιφάνειας (RDP) και Μπλοκ μηνυμάτων διακομιστή (SMB).
Μόλις εισέλθουν σε ένα σύστημα, οι εισβολείς εστιάζουν αμέσως στη συλλογή διαπιστευτηρίων για να μετακινηθούν πλευρικά στο δίκτυο και να επεκτείνουν τη θέση τους.
Ερευνητές Picus Security διάσημος ότι το κακόβουλο λογισμικό χρησιμοποιεί μια στρατηγική ανάπτυξης πολλαπλών σταδίων που καθιστά τον εντοπισμό ιδιαίτερα δύσκολο.
Η μέθοδος διανομής βασίζεται στον Neshta, έναν ιό που μολύνει αρχεία που υπάρχει από το 2003, ο οποίος τώρα λειτουργεί ως μηχανισμός σταγονόμετρου ειδικά σχεδιασμένος για την παράδοση και εκτέλεση του HardBit 4.0.
Αυτή η προσέγγιση παρακάμπτει τον παραδοσιακό εντοπισμό προστασίας από ιούς επειδή το Neshta τροποποιεί τα εκτελέσιμα αρχεία και καθιερώνει την επιμονή μέσω του χειρισμού του μητρώου.
Το σταγονόμετρο Neshta λειτουργεί μέσω μιας διαδικασίας τεσσάρων βημάτων που επιδεικνύει τεχνική πολυπλοκότητα. Όταν εκτελείται, διαβάζει πρώτα το δικό του δυαδικό αρχείο και εξάγει το ωφέλιμο φορτίο HardBit από συγκεκριμένες μετατοπίσεις μνήμης.
Πλευρική Κίνηση
Στη συνέχεια, το σταγονόμετρο αποκρυπτογραφεί την κεφαλίδα και το σώμα του HardBit, εγγράφει το ανακατασκευασμένο δυαδικό αρχείο ransomware στον προσωρινό κατάλογο του συστήματος και, τέλος, εκκινεί το κακόβουλο λογισμικό μέσω νόμιμων λειτουργιών εκτέλεσης των Windows.
Για να διασφαλίσει ότι το κακόβουλο λογισμικό παραμένει κατά τις επανεκκινήσεις, ο Neshta αντιγράφει τον εαυτό του στον ριζικό κατάλογο του συστήματος ως κρυφό αρχείο και τροποποιεί τα κλειδιά μητρώου, έτσι ώστε κάθε φορά που ένας χρήστης επιχειρεί να εκτελέσει οποιοδήποτε εκτελέσιμο αρχείο, το κακόβουλο λογισμικό εκτελείται αυτόματα πρώτο.
Πέρα από την επίμονη πρόσβαση, το HardBit 4.0 εφαρμόζει επιθετικές τακτικές αμυντικής αποφυγής που στοχεύουν απευθείας το λογισμικό ασφαλείας.
Το κακόβουλο λογισμικό τροποποιεί πολλές καταχωρήσεις μητρώου των Windows για να απενεργοποιήσει τις κρίσιμες λειτουργίες του Windows Defender, συμπεριλαμβανομένων των δυνατοτήτων παρακολούθησης σε πραγματικό χρόνο, προστασίας από παραβίαση και κατά του λογισμικού κατασκοπείας.
Επιπρόσθετα, το δυαδικό αρχείο συσκοτίζεται χρησιμοποιώντας μια τροποποιημένη έκδοση του προστατευτικού ConfuserEx, καθιστώντας την αντίστροφη μηχανική και την ανάλυση δύσκολη για τους επαγγελματίες ασφαλείας.
Ένα μοναδικό χαρακτηριστικό που ξεχωρίζει το HardBit 4.0 περιλαμβάνει έναν μηχανισμό προστασίας φράσης πρόσβασης που απαιτεί από τους εισβολείς να παρέχουν συγκεκριμένα κλειδιά εξουσιοδότησης κατά την εκτέλεση, αποτρέποντας την τυχαία ή αυτοματοποιημένη έκρηξη του sandbox που θα μπορούσε να εκθέσει τη συμπεριφορά του κακόβουλου λογισμικού στους ερευνητές ασφαλείας.
Οι οργανισμοί μπορούν να ενισχύσουν την άμυνά τους έναντι του HardBit 4.0 παρακολουθώντας ύποπτες δραστηριότητες RDP και SMB, εφαρμόζοντας ισχυρές πρακτικές διαχείρισης διαπιστευτηρίων και διατηρώντας ενημερωμένα συστήματα δημιουργίας αντιγράφων ασφαλείας απομονωμένα από την πρόσβαση στο δίκτυο για να διασφαλίσουν ότι οι επιλογές ανάκτησης δεν είναι διαθέσιμες στους εισβολείς.