ProtektNet Consulting Services
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
Logo-ProtektNet-1
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
RANSOMWARE HARDBIT
16/07/2024

¿Qué es el ransomware HARDBIT?

Es un software malicioso calificado como ransomware, su función es encriptar datos y exigir un pago por el rescate de los datos. HARDBIT funciona de la siguiente forma, una vez instalado en tu sistema empieza a cifrar todos tus archivos y modifica los títulos de los archivos, les añade un identificador único. La dirección de correo electrónico de los atacantes y la extensión “. hardbit”, despues se encarga de cambiar el fondo de pantalla del escritorio para informar que sus archivos fueron cifrados y el contenido sensible fue exfiltrado y agrega dos archivos de nombre “Help_me_for_Decrypt.hta” este aparece de ventana emergente y “How To Restore Your Files.txt“, todos ellos con notas de rescate y brindando mayor informacion sobre la infección del ransomware y advirtiendo que el atacado tiene 2 días para iniciar la comunicación/pago con los atacantes de lo contrario, el rescate aumentara el doble, indica tambien que el atacado pueden probar el descifrado en dos archivos antes de pagar. También contienen extensas advertencias contra las acciones que pueden resultar en la pérdida permanente de datos o el aumento de las pérdidas financieras de las víctimas.

Expertos concluyen despues de varias investigaciones que la desencriptación de los archivos sin ayuda de las interfaces de los atacantes, es imposible la recuperacion de los archivos, a pesar de cumplir con los requerimientos del rescate, el atacado no recibe las herramientas de desencriptación, por lo tanto, aconsejamos el no pagar el rescate y esto a la vez ayuda inadvertidamente esta actividad ilegal.

La eliminación del ransomware HARDBIT del sistema operativo evitará que cifre más datos. Por desgracia, la eliminación no restaurará los archivos ya comprometidos. La única solución es recuperarlos a partir de una copia de seguridad, si es que se creó una con anterioridad y está almacenada en otro lugar; Por lo tanto, recomendamos con insistencia mantener las copias de seguridad en varias ubicaciones separadas para garantizar la seguridad de los datos.

De este ransomware, existen varias versiones, al momento existen 4 versiones de este ransomware, la antes mencionada se puede catalogar como version 1, a continuación, se muestra informacion de las demás versiones de este ransomware.

HARDBIT v.2

Esta version del ransomware, prácticamente realiza los mismos movimientos que el HARDBIT original, cifra los datos, pero este, agrega caracteres aleatorios, el ID de la víctima, correo electronico y la extensión “. hardbit2” a los archivos y de igual forma cambia el fondo de escritorio y crea dos notas de rescate «Help_me_for_Decrypt.hta» y «How To Restore Your Files.txt». Un ejemplo de cómo HARDBIT 2.0 cambia el nombre de los archivos: cambia «1.jpg» por «o7pvb003x0. [id-BFEBFBFF000A0655]. [godgood55@tutanota.com]. hardbit2», 2.png» por b8uyt904pH. [id-BFEBFBFF000A0655]. [godgood55@tutanota.com]. hardbit2, y así sucesivamente.

Esta version en lugar de escribir los datos cifrados en las copias de los archivos y borrar los originales como hacen muchas cepas, HardBit 2.0 abre los archivos y sobrescribe su contenido con datos cifrados, dificultando a los expertos la recuperación de los archivos originales y hace que el cifrado sea ligeramente más rápido., la nota que HardBit 2.0 deja caer en el sistema de la víctima no informa de la cantidad que los ciberdelincuentes quieren a cambio de la clave de descifrado, sino que indican a sus víctimas que disponen de 48 horas para ponerse en contacto con ellos a través de una aplicación de mensajería cifrada peer-to-peer de código abierto. A Diferencia del método de pago de la version original, es que piden con insistencia que el pago del rescate se realice por medio de la compañía de seguros de la empresa.

Los atacantes indican a sus víctimas que no trabajen con intermediarios, ya que esto solo encarecería el coste total, sino que se pongan en contacto directamente con ellos para negociar; Para las empresas que tienen un seguro contra ciberataques, los atacantes tienen una serie de instrucciones elaboradas y les instan a revelar el importe del seguro para dialogar con éxito. Es más, indican que el rescate podría ajustarse a las pólizas de seguro.; aunque las víctimas suelen estar limitadas contractualmente a no revelar los detalles del seguro a los atacantes, y si lo hicieran se arriesgan a perder cualquier posibilidad de que la aseguradora cubra los daños. Por eso este grupo insiste en que estos detalles se compartan en privado.

HARDBIT v.4

A diferencia de las anteriores versiones, esta version llega en este año 2024, llega con importantes mejoras en dos áreas fundamentales, como las técnicas de ofuscación para disuadir los esfuerzos de análisis en su detección ya que cuenta con protección con contraseña, que esta se proporciona durante el tiempo de ejecución para que se ejecute correctamente, esto impide que los analistas de seguridad analicen el ransomware, el otro importante punto es que no opera en sitios de filtración de datos, sino que los atacantes presionan a las victimas que paguen sino amenazan con realizar mas ataques en el futuro.

Los atacantes se comunican principalmente a través del software de mensajería instantánea TOX, aunque aun no existen fuentes confiables que confirmen esto, se sospecha que el vector de acceso inicial es utilizado para violar los entornos de destino, también que es utilizado para realizar ataques de fuerza bruta a servicios RDP Y SMB.

¿Qué más incluye esta version de Hardbit?

  • Robo de credenciales mediante herramientas como Mimikatz y NLBrute.
  • Descubrimiento de la red con ayuda de utilidades como Adavnced Port Scanner, permitiendo al acceso unilateral en la red por medio de RDP.
  • Cifrado de los hosts de las victimas a través del virus Neshta, utilizado anteriormente para distribuir ransomwares como “Big Head”.

  • Indicadores de Compromiso (IoC) 2024

Hemos realizado búsquedas exhaustivas en diversos foros y sitios de Internet relacionados a Ciberseguridad y hemos encontrado diferentes variantes con su IoC en Sha256 los cuales los hemos analizado con Sophos y casi todos se detectaron, el resto, por funcionalidad de Cryptoguard hace su labor de detección y protección.

Por eso recomendamos que se tengan todos los Endpoints con el agente instalado, las bases de datos de AV actualizadas hasta la fecha más reciente y el módulo de Cryptoguard activo en su Política de Threat Protection en Sophos Intercept X, por lo pronto no hay necesidad de realizar ajustes adicionales.

Tenemos IoC detectados de las variantes de HARDBIT que pueden ser agregados en otras plataformas, pero en Sophos no hay necesidad de agregarlos ya que ya son detectados.

  • 422e0e4e01c826c8a9f31cb3a3b37ba29fb4b4b8c4841e16194258435056d8a3
  • a0138b24593483f50ae7656985b6d6cfe77f7676ba374026199ad49ad26f2992
  • cb239d641cfa610b1eaf0ecd0f48c42dd147f547b888e4505297c4e9521d8afe
  • fafbe16c5646bf1776dd3ef62ba905b9b2cb0ee51043859a2f3cdda7dfe20d4c

Relacionadas

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Campaña Bloody Wolf

Campaña Bloody Wolf: Uso de NetSupport RAT en Ataques de Spear‑Phishing

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Campaña de malware distribuido a través de mensajes privados de Linkedin

Campaña de malware distribuido a través de mensajes privados de Linkedin

Write A Comment

Trabaja con Nostros

Contáctanos

Envíanos un WhatsApp

81 8625 8220

Monterrey

Atención Comercial: 81 8625 8220
Atención Técnica: 81 8625 8224
Servicios Administrados SOC: 81 8625 8228

CDMX

Atención Comercial: 55 2881 4524
Atención Técnica: 55 2881 4528

© 2021 ProtektNet Consulting S.A. de C.V. Todos los Derechos Reservados