Các nhà nghiên cứu bảo mật đã công bố một biến thể HardBit 4.0 mới vào tuần trước, được trang bị các kỹ thuật obfuscation mới để ngăn chặn việc phân tích từ các hệ thống phát hiện xâm nhập.
1. Các phiên bản HardBit ransomware
Nhóm ransomware HardBit xuất hiện lần đầu tiên vào khoảng tháng 10 năm 2022, và các hoạt động tống tiền nạn nhân đều diễn ra qua dịch vụ nhắn tin mã hóa Tox. Ngoài ra, thông báo đòi tiền chuộc của HardBit đe dọa sẽ công bố dữ liệu của nạn nhân nếu không trả tiền chuộc.
HardBit 2.0 đến 4.0 đều bao gồm các chức năng:
Vô hiệu hóa các chức năng của Windows Defender.
Xoá và ngăn chặn việc khôi phục các bản sao lưu.
Obfuscate file binary .NET của chính nó bằng cách sử dụng công cụ đóng gói
Ryan-_-Borland_Protector Cracked v1.0
, khiến việc phân tích trở nên khó khăn hơn.
Phiên bản HardBit từ 3.0 trở đi có thêm lựa chọn sử dụng GUI, thay vì CLI như phiên bản trước đó. Ngoài ra, phiên bản GUI còn có hai chế độ, cho phép kẻ tấn công lựa chọn giữa mã hóa file của nạn nhân hoặc xóa chúng. Chức năng xoá được sử dụng bằng cách cấu hình trong file hard.txt
, và phải trả phí để sử dụng.
Ảnh dưới đây là bảng so sánh các chức năng của ransomware giữa các phiên bản:
2. Chức năng mới trên HardBit 4.0
Một trong những tính năng mới đáng chú ý nhất của biến thể HardBit 4.0 này là được packing và vận chuyển bởi virus Neshta, khiến nó khó bị phát hiện và loại bỏ khỏi hệ thống của nạn nhân hơn.
Neshta đã hoạt động từ năm 2003 và đã được sử dụng phổ biến để làm công cụ vận chuyển mã độc trong những năm gần đây. Mã độc HardBit 4.0 được Neshta packing và thả vào thư mục %TEMP%
và sau đó được thực thi bằng ShellExecuteA.
Một tính năng độc đáo khác của HardBit 4.0 là cần phải cung cấp passphrase thì ransomware mới có thể hoạt động đúng cách. Tính năng này cản trở việc phân tích mã độc, khiến việc xử lý sự cố trở nên khó khăn hơn.
3. Tác động của HardBit ransomware
Ransomware sử dụng HardBit có thể gây ra nhiều hậu quả nghiêm trọng:
Mất mát dữ liệu: Dữ liệu quan trọng có thể bị mã hóa và trở nên không thể truy cập được.
Gián đoạn hoạt động kinh doanh: Các doanh nghiệp có thể phải tạm ngừng hoạt động nếu dữ liệu bị mã hóa ảnh hưởng đến các hệ thống quan trọng.
Chi phí phục hồi cao: Chi phí để khôi phục dữ liệu có thể rất cao, bao gồm cả tiền chuộc và chi phí liên quan đến phục hồi hệ thống.
4. Khuyến nghị
Phía FPT Threat Intelligence khuyến nghị một số cách để giảm thiểu rủi ro cũng như là tác động của HardBit ransomware:
Sao lưu dữ liệu thường xuyên: Thực hiện sao lưu dữ liệu thường xuyên và lưu trữ ở các vị trí an toàn, tách biệt với hệ thống chính.
Cập nhật phần mềm: Đảm bảo hệ điều hành và tất cả phần mềm bảo mật được cập nhật phiên bản mới nhất để ngăn chặn các lỗ hổng bảo mật.
Sử dụng các công cụ phát hiện xâm nhập: Triển khai các hệ thống giám sát và cảnh báo về hoạt động bất thường.
Đào tạo nhận thức bảo mật: Đào tạo nhân viên về các mối đe dọa bảo mật, đặc biệt là cách nhận biết và phòng chống ransomware
5. Tham khảo
New HardBit ransomware variant increases stealth and persistence
https://www.scmagazine.com/news/new-hardbit-ransomware-variant-increases-stealth-and-persistenceHARDBIT RANSOMWARE VERSION 4.0 SUPPORTS NEW OBFUSCATION TECHNIQUES
https://securityaffairs.com/165735/malware/hardbit-ransomware-version-4-0.html