2022年に初めて検出された悪名高いHardBitランサムウェア・ファミリーは、新たな亜種であるHardBit 4.0をリリースし、難読化の強化、ランサムウェア実行の制御、破壊的能力の向上を示しています。
他のランサムウェア集団とは異なり、HardBitはデータ漏えいポータルを運営せず、恐喝のために暗号化またはデータ破壊のみに注力しています。
HardBitの最新バージョンは、2003年から活動しているレガシーなWindowsファイル感染型マルウェアであるNeshtaを ドロッパー として用い、ランサムウェアのペイロードを展開します。
実行されると、Neshtaは埋め込まれたランサムウェア バイナリを読み取り、復号して %TEMP% ディレクトリに書き込み、 ShellExecuteA 経由で起動します。
永続化を確実にするため、自身を %SYSTEMROOT%\svchost.com にコピーし、Windowsレジストリを編集して、あらゆる.exeファイルの起動が悪意のあるバイナリをトリガーするようにします。
HardBit 4.0は、解析や不正な実行を防ぐ パスフレーズ保護メカニズム を導入しています。
このマルウェアは実行時に デコードされた認可キー と 暗号化キー を必要とし、これらは秘密鍵ファイルを用いた RSA Decoder ツールでデコードされます。この鍵ペアがなければマルウェアは動作せず、研究者による自動解析やサンドボックス解析を困難にします。
このマルウェアは CLI版とGUI版の両方で配布されており、スキルレベルの異なる攻撃者に対応しています。
特にGUI版には、hard.txtという設定ファイルで有効化される 「Wiper」モード が搭載されており、暗号化ではなくデータを恒久的に消去します。この機能は、オペレーター向けのオプション追加機能として提供されていると考えられています。
正確な感染ベクターは不明のままですが、攻撃者 は、NLBruteなどのツールを用いて RDP および SMB サービスをブルートフォースし、初期アクセスを獲得していると報告されています。
足掛かりを確立すると、!start.batというカスタムのバッチスクリプトがMimikatzを展開して認証情報を抽出し、その出力を Result.txt に保存します。これらの認証情報により、攻撃者はRDPを介してネットワーク内を横方向に移動できます。
偵察フェーズでは、脅威アクターが KPortScan 3.0、 Advanced Port Scanner、そして 5-NS new.exe を実行し、開放ポートとアクセス可能なネットワーク共有を特定します。
HardBit 4.0はさらに、レジストリの変更とPowerShellコマンドにより Windows Defender の保護を無効化し、 リアルタイム監視、 改ざん防止、 スパイウェア対策 などの機能を停止します。
暗号化の前に、ランサムウェアは net stop などのコマンドで重要なセキュリティおよびバックアップサービスを停止し、 vssadmin と bcdedit を使用してシャドウコピーを削除し、復旧の試みを阻止します。
最終ペイロードはデータを暗号化し、デスクトップの壁紙を変更し、ファイルアイコンを同グループのシグネチャ・ブランディングに置き換えます。
翻訳元: https://cyberpress.org/hardbit-4-0-exploits/