新型HardBit勒索病毒

网络安全研究人员发现了一种名为 HardBit 的勒索软件的新版本，该病毒采用了新的混淆技术来阻止分析工作。

Cybereason 研究人员 Kotaro Ogino 和 Koshi Oyama在分析中表示： “与之前的版本不同，HardBit 勒索软件组织在 4.0 版本中增强了密码保护功能。”

“为了使勒索软件能够正确执行，需要在运行时提供密码。额外的混淆会妨碍安全研究人员分析恶意软件。”

HardBit于 2022 年 10 月首次出现，是一个以经济为目的的威胁行为者，与其他勒索软件团体类似，其目的是通过双重勒索手段获取非法收入。

该威胁组织的特别之处在于，它并不运营数据泄露网站，而是威胁将来会发动更多攻击，迫使受害者支付赎金。其主要通信方式是通过 Tox 即时通讯服务。

目前尚不清楚用于破坏目标环境的确切初始访问载体，但怀疑它涉及暴力破解 RDP 和 SMB 服务。后续步骤包括使用 Mimikatz 和 NLBrute 等工具执行凭证盗窃，以及通过高级端口扫描器等实用程序进行网络发现，允许攻击者通过 RDP 在网络中横向移动。

Varonis在去年关于 HardBit 2.0 的技术报告中指出： “在入侵受害者主机后，HardBit 勒索软件负载会被执行，并会执行一系列步骤来降低主机的安全态势，然后再加密受害者数据。”

受害者主机的加密是通过部署 HardBit 进行的，该程序使用一种名为Neshta的已知文件感染病毒进行传播。值得注意的是，Neshta 过去也曾被威胁行为者用来分发 Big Head 勒索软件。

HardBit 还可以禁用 Microsoft Defender Antivirus 并终止进程和服务，以逃避对其活动的潜在检测并阻止系统恢复。然后，它会加密感兴趣的文件、更新其图标、更改桌面壁纸，并使用字符串“Locked by HardBit”更改系统的卷标。

除了以命令行或 GUI 版本的形式提供给操作员外，勒索软件还需要授权 ID 才能成功执行。GUI 版本还支持擦除模式，可以不可撤销地擦除文件并擦除磁盘。

Cybereason 指出：“一旦威胁行为者成功输入解码的授权 ID，HardBit 就会提示输入加密密钥来加密目标机器上的文件，然后继续勒索软件程序。”

“擦除器模式功能需要由 HardBit 勒索软件组织启用，该功能可能是运营商需要购买的附加功能。如果运营商需要擦除器模式，则运营商需要部署 hard.txt，这是 HardBit 二进制文件的可选配置文件，包含启用擦除器模式的授权 ID。”

网络安全公司 Trellix详细介绍了一次CACTUS勒索软件攻击，该攻击利用 Ivanti Sentry（CVE-2023-38035）的安全漏洞，使用 AnyDesk 和 Splashtop 等合法的远程桌面工具安装文件加密恶意软件。

根据 Palo Alto Networks 的 2024 年 Unit 42 事件响应报告，从入侵到数据泄露的平均时间从 2021 年的 9 天骤降至去年的 2 天。今年近一半 (45%) 的案件中，这一时间不到 24 小时。

“现有证据表明，利用面向公众的应用程序中已知的漏洞仍然是勒索软件攻击的主要载体，”博通旗下的这家公司表示。“自带易受攻击的驱动程序 ( BYOVD ) 仍然是勒索软件团体青睐的策略，尤其是作为一种禁用安全解决方案的手段。”

原文始发于微信公众号（KK安全说）：新型HardBit勒索病毒