Ερευνητές ασφαλείας έριξαν φως σε μια νέα έκδοση (version 4.0) του ransomware HardBit, που χρησιμοποιεί νέες τεχνικές αποφυγής του εντοπισμού.

Σε αντίθεση με τις προηγούμενες εκδόσεις, η ομάδα HardBit ransomware βελτίωσε την έκδοση 4.0, με προστασία passphrase“, δήλωσαν οι ερευνητές της Cybereason, Kotaro Ogino και Koshi Oyama. “Το passphrase πρέπει να παρέχεται κατά τη διάρκεια του χρόνου εκτέλεσης, προκειμένου το ransomware να εκτελεστεί σωστά. Το πρόσθετο obfuscation εμποδίζει τους ερευνητές ασφαλείας να αναλύσουν το κακόβουλο λογισμικό“.

Το HardBit ransomware εμφανίστηκε για πρώτη φορά τον Οκτώβριο του 2022. Οι hackers που βρίσκονται από πίσω του έχουν οικονομικά κίνητρα και χρησιμοποιούν τακτικές διπλού εκβιασμού.

Δείτε επίσης: Κομητεία της Ιντιάνα δέχτηκε καταστροφική επίθεση Ransomware

Η συγκεκριμένη ομάδα δεν έχει ιστότοπο διαρροής δεδομένων, αλλά πιέζει τα θύματα να πληρώσουν, απειλώντας με πρόσθετες επιθέσεις στο μέλλον. Η επικοινωνία γίνεται, κατά βάση, μέσω της υπηρεσίας άμεσων μηνυμάτων Tox.

Η μέθοδος αρχικής πρόσβασης του HardBit ransomware στο δίκτυο-στόχο δεν είναι επί του παρόντος σαφής, αν και υπάρχει υποψία ότι περιλαμβάνει brute-forcing επιθέσεις σε υπηρεσίες RDP και SMB.

Μετά την πρόσβαση, πραγματοποιείται κλοπή credentials με τη χρήση εργαλείων όπως το Mimikatz και το NLBrute. Επίσης, γίνεται ανάλυση δικτύου μέσω βοηθητικών προγραμμάτων όπως το Advanced Port Scanner, επιτρέποντας στους εισβολείς να μετακινούνται στο δίκτυο μέσω RDP.

Μετά την παραβίαση ενός κεντρικού υπολογιστή, εκτελείται το HardBit ransomware payload και πραγματοποιεί μια σειρά βημάτων που μειώνουν το security posture του κεντρικού υπολογιστή, πριν από την κρυπτογράφηση των δεδομένων του θύματος“, σημείωσε ο Varonis σε μια έκθεση για το HardBit 2.0 πέρυσι.

Η κρυπτογράφηση των υπολογιστών του θύματος πραγματοποιείται με την ανάπτυξη του HardBit, το οποίο παραδίδεται χρησιμοποιώντας έναν γνωστό ιό μόλυνσης αρχείων, που ονομάζεται Neshta.

Δείτε επίσης: Η Ινδονησία ενισχύει την κυβερνοασφάλεια μετά από επίθεση ransomware

Το HardBit ransomware έχει επίσης σχεδιαστεί για να απενεργοποιεί το Microsoft Defender Antivirus και να τερματίζει διαδικασίες και υπηρεσίες για να αποφύγει τον πιθανό εντοπισμό από συστήματα ασφαλείας και ερευνητές. Στη συνέχεια κρυπτογραφεί αρχεία, ενημερώνει τα εικονίδια τους και αλλάζει την ταπετσαρία της επιφάνειας εργασίας καθώς και το volumeτου συστήματος, γράφοντας “Locked by HardBit.

Εκτός από το ότι προσφέρεται σε χειριστές με τη μορφή command-line ή GUI versions, το HardBit ransomware απαιτεί ένα authorization ID προκειμένου να εκτελεστεί με επιτυχία.

Προστασία από το ransomware

Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων

σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.

Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware (π.χ. HardBit).

Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους:  Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.

Δείτε επίσης: Αύξηση ransomware επιθέσεων παρά τις ενέργειες των αρχών επιβολής του νόμου

Χρήση λογισμικού προστασίας από ιούς:  Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware (π.χ. HardBit). Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.

Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.

Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.

Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware (π.χ. HardBit). Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.

Πηγή: thehackernews.com