Впервые замеченная в октябре 2022 года, программа HardBit представляет собой угрозу выкупа, направленную на организации с целью вымогательства криптовалюты за расшифровку их данных.
HardBit версии 2.0 был представлен в конце ноября 2022 года, а его образцы были замечены в конце 2022 года и в 2023 году.
Как и большинство современных угроз выкупа, HardBit заявляет о краже конфиденциальных данных у своих жертв, вероятно, сначала получив доступ к сети, а затем запустив полезную нагрузку для шифрования данных.
Однако, в отличие от многих своих коллег, HardBit в настоящее время не имеет сайта для утечки информации и не использует тактику двойного вымогательства, при которой жертв "называют и позорят" и угрожают публичным обнародованием их украденных данных.
Хотя угроза продажи или публикации украденных данных сохраняется, группа угрожает дальнейшими нападениями на жертву, если ее требования о выкупе не будут выполнены.
Используя заранее подготовленную записку с требованием выкупа, содержащуюся в угрозе выкупа, HardBit призывает жертв связаться с ними по электронной почте или через платформу мгновенного обмена сообщениями Tox.
Вместо того чтобы указывать в записке сумму биткоинов, группа стремится провести переговоры с жертвами для достижения соглашения. Примечательно, что в рамках этих переговоров жертвам, имеющим полисы киберстрахования, также предлагается сообщить HardBit подробную информацию, чтобы их требования были скорректированы в соответствии с условиями полиса.
Пока неизвестно, как HardBit получает первоначальный доступ к сетям жертв, но вполне вероятно, что он использует тактику, методы и процедуры (TTP), схожие с другими угрозами, связанными с вымогательским ПО.
Эти проверенные и испытанные ТТП, обычно используемые группами ransomware, включают доставку вредоносной полезной нагрузки ничего не подозревающим сотрудникам, использование скомпрометированных учетных данных, таких как те, которые были раскрыты в результате утечки данных третьих сторон, а также - в более продвинутых инцидентах - использование уязвимостей в открытых узлах.
Пытаясь избежать анализа в среде "песочницы", HardBit собирает информацию о хосте жертвы с помощью веб-функций управления предприятием и Windows Management Instrumentation (WMI).
В частности, программа-вымогатель собирает:
- сведения об установленном оборудовании, включая процессор, дисковые накопители и видеокарту (видеоконтроллер).
- настройки сетевого адаптера, включая IP-конфигурацию и MAC-адрес
- производителя и версию системы из BIOS
- имя пользователя и имя компьютера жертвы
- Информация о часовом поясе
Кроме того, функция Win32 API BCryptGetFipsAlgorithmMode вызывается, чтобы определить, включено ли соответствие Федеральному стандарту обработки информации (FIPS) 140.
Если оно включено, Windows будет использовать только утвержденные схемы шифрования, и, скорее всего, собственные методы шифрования вымогательской программы окажутся неудачными.
Indicators of Compromise
Emails
- alexgod5566@xyzmailpro.com
- filetest@decoymail.net
- filetest@onionmail.org
- godgood55@tutanota.com
SHA256
- 422e0e4e01c826c8a9f31cb3a3b37ba29fb4b4b8c4841e16194258435056d8a3
- a0138b24593483f50ae7656985b6d6cfe77f7676ba374026199ad49ad26f2992
- b565a7b25dc4227872fe972ceee9ff8fce91eb10b373ebc9401f4f32348244ef
- cb239d641cfa610b1eaf0ecd0f48c42dd147f547b888e4505297c4e9521d8afe
- e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855
- fafbe16c5646bf1776dd3ef62ba905b9b2cb0ee51043859a2f3cdda7dfe20d4c