Программа HardBit ransomware датируется как минимум октябрем 2022 года, а текущая версия 2.0 была выпущена вскоре после этого, в ноябре 2022 года. Как и обычно, HardBit использует технику "двойного вымогательства", шифруя файлы жертвы с целью получения выкупа, а затем подкрепляя это действие угрозой раскрыть конфиденциальную информацию и данные, если выкуп не будет выплачен.
HardBit 2.0 Ransomware
Информация о векторе заражения, используемом этой группой, в настоящее время отсутствует. Однако, скорее всего, он не будет сильно отличаться от других групп ransomware.
После выполнения HardBit 2.0 завершает процессы и службы, чтобы замедлить возможное обнаружение своей деятельности. Затем он шифрует интересующие его файлы и переименовывает их в случайные имена, за которыми следует [id-XXXX].[contact email].hardbit2.
В каждый каталог, где были зашифрованы файлы, помещается HTA-файл с именем "Help_me_for_Decrypt.hta" и записка о выкупе с именем "How To Restore Your Files.txt".
В записке о выкупе содержится объяснение произошедшего, гарантия восстановления в случае оплаты, а также адреса электронной почты для связи со злоумышленником. Интересно, что в выкупе не указана цена, что гарантирует, что жертве придется связаться со злоумышленником для переговоров. Кроме того, целый абзац посвящен киберстрахованию и предложению обмануть поставщика, предоставив детали страхового полиса "анонимно". Это (по их логике) способ гарантировать, что их платежные требования не превысят максимальный порог полиса, так что и злоумышленник, и страхователь получат свои выплаты.
Файл HTA запускается автоматически, как только HardBit завершает шифрование файлов на хосте. Он также предоставляет идентификатор Tox, с помощью которого можно связаться со злоумышленником. Tox - это одноранговая платформа обмена мгновенными сообщениями с открытым исходным кодом (https://en.wikipedia.org/wiki/Tox_(протокол)). В нем также есть дополнительные предупреждения о том, что если контакт не будет установлен в течение 48 часов, сумма выкупа удвоится.
На рабочем столе появляется изображение в формате JPEG "HARDBIT.jpg". Оно становится фоном для взломанной машины.
Изображение повторяет, что жертва должна обратиться к файлам "Help_me_for_Decrypt.hta" и "How To Restore Your Files.txt", помещенным в ее систему. Оно также объясняет, что файлы также были эксфильтрированы, и явно угрожает выдать их для продажи или дальнейшей публикации, если контакт не будет достигнут.
Indicators of Compromise
SHA256
- 422e0e4e01c826c8a9f31cb3a3b37ba29fb4b4b8c4841e16194258435056d8a3
- a0138b24593483f50ae7656985b6d6cfe77f7676ba374026199ad49ad26f2992
- cb239d641cfa610b1eaf0ecd0f48c42dd147f547b888e4505297c4e9521d8afe
- fafbe16c5646bf1776dd3ef62ba905b9b2cb0ee51043859a2f3cdda7dfe20d4c