Новая версия вируса-вымогателя HardBit 4.0 усложняет задачу кибербезопасности

Исследователи в области кибербезопасности обнаружили новую версию известного вируса-вымогателя HardBit, которая включает усовершенствованные методы маскировки для защиты от анализа. Эксперты из компании Cybereason, Котаро Огино и Коши Ояма, подчеркивают, что HardBit 4.0 теперь требует ввода парольной фразы для активации, что затрудняет его исследование безопасниками.

Впервые появившийся в октябре 2022 года, HardBit быстро зарекомендовал себя как финансово мотивированная угроза с целью получения прибыли через тактику двойного вымогательства. Однако в отличие от других групп, HardBit не использует сайты утечки данных, а давит на жертв, угрожая будущими атаками.

По предварительным данным, группа проникает в системы, используя уязвимости в удаленных рабочих протоколах, таких как RDP и SMB. Затем следуют этапы кражи учетных данных и сканирование сети, что позволяет злоумышленникам перемещаться по сети и захватывать хосты.

После компрометации хоста HardBit деактивирует антивирус Microsoft Defender и завершает процессы, что максимально затрудняет обнаружение и восстановление системы. Затем вирус шифрует данные, изменяет иконки файлов, фон рабочего стола и метки томов, добавляя к ним строку «Заблокировано HardBit».

Кроме версий с командной строкой и графическим интерфейсом, HardBit также предлагает режим уничтожения данных, который нужно отдельно приобрести. Эта функция позволяет безвозвратно стереть файлы и диски, что делает резервное копирование бесполезным.