网络安全研究人员揭示了一种名为HardBit的新版本勒索软件,该勒索软件带有新的混淆技术,以阻止分析工作。
“与以前的版本不同,HardBit Ransomware 组织通过密码保护增强了 4.0 版本,”Cybereason 研究人员 Kotaro Ogino 和 Koshi Oyama 在一份分析中说。
“需要在运行时提供密码,以便正确执行勒索软件。额外的混淆阻碍了安全研究人员分析恶意软件。
HardBit 于 2022 年 10 月首次出现,是一个出于经济动机的威胁行为者,与其他勒索软件组织类似,其运作目的是通过双重勒索策略产生非法收入。
该威胁组织之所以脱颖而出,是因为它不运营数据泄露站点,而是通过威胁将来进行其他攻击来迫使受害者支付费用。它的主要通信模式是通过 Tox 即时消息服务进行的。
目前尚不清楚用于破坏目标环境的确切初始访问向量,尽管它被怀疑涉及暴力破解 RDP 和 SMB 服务。
后续步骤包括使用 Mimikatz 和 NLBrute 等工具执行凭据盗窃,以及通过高级端口扫描仪等实用程序进行网络发现,允许攻击者通过 RDP 在网络上横向移动。
“在入侵受害者主机后,HardBit 勒索软件有效载荷被执行并执行许多步骤,在加密受害者数据之前降低主机的安全态势,”Varonis 在去年关于 HardBit 2.0 的技术文章中指出。
受害主机的加密是通过部署 HardBit 执行的,HardBit 使用名为 Neshta 的已知文件感染病毒进行传输。值得注意的是,Neshta 过去曾被威胁行为者用于分发 Big Head 勒索软件。
HardBit 还旨在禁用 Microsoft Defender 防病毒并终止进程和服务,以逃避对其活动的潜在检测并抑制系统恢复。然后,它会加密感兴趣的文件,更新其图标,更改桌面壁纸,并使用字符串“Locked by HardBit”更改系统的卷标。
除了以命令行或 GUI 版本的形式提供给操作员外,勒索软件还需要授权 ID 才能成功执行。GUI 风格进一步支持擦除器模式,以不可撤销地擦除文件并擦除磁盘。
“一旦威胁行为者成功输入解码的授权 ID,HardBit 就会提示输入加密密钥以加密目标机器上的文件,并继续执行勒索软件程序,”Cybereason 指出。
“雨刮器模式功能需要由 HardBit Ransomware 组织启用,该功能可能是运营商需要购买的附加功能。如果运营商需要雨刮器模式,则操作员需要部署 hard.txt,这是一个 HardBit 二进制文件的可选配置文件,其中包含用于启用雨刮器模式的授权 ID。
网络安全公司 Trellix 详细介绍了 CACTUS 勒索软件攻击,该攻击被观察到利用 Ivanti Sentry (CVE-2023-38035) 中的安全漏洞,使用 AnyDesk 和 Splashtop 等合法远程桌面工具安装文件加密恶意软件。
勒索软件活动在 2024 年继续“保持上升趋势”,勒索软件行为者声称 2024 年第一季度发生了 962 次攻击,高于去年同期报告的 886 次攻击。赛门铁克表示,LockBit、Akira 和 BlackSuit 已成为在此期间最流行的勒索软件家族。
根据 Palo Alto Networks 的 2024 年 Unit 42 事件响应报告,从泄露到数据泄露所需的中位数时间从 2021 年的 9 天急剧下降到去年的 2 天。在今年近一半(45%)的案件中,时间不到24小时。
“现有证据表明,利用面向公众的应用程序中的已知漏洞仍然是勒索软件攻击的主要载体,”Broadcom旗下的公司表示。“自带易受攻击的驱动程序 (BYOVD) 仍然是勒索软件组织青睐的策略,特别是作为禁用安全解决方案的一种手段。”
|
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。  |
END
原文始发于微信公众号(信息安全大事件):新的 HardBit 勒索软件 4.0 使用密码保护来逃避检测
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论