HardBit 4.0ランサムウェア、未保護のRDPとSMBを悪用してアクセスの永続化を実現

HardBitランサムウェアは、バージョン4.0のリリースにより進化を続けており、脆弱なネットワークサービスを通じて永続性を確立する高度な仕組みを導入しています。

最新の亜種は、開放されたリモートデスクトッププロトコル（RDP）およびサーバーメッセージブロック（SMB）サービスを侵入口として活用し、脅威アクターが侵害されたネットワークへの長期的なアクセスを維持できるようにすると同時に、セキュリティ分析や対応を困難にする高度な回避手法を展開します。

従来の亜種とは異なり、HardBit 4.0は実装として、Neshtaファイル感染型をドロッパー機構として採用しており、従来の配布手法からの大きな転換となっています。

2003年から活動しているNeshtaは、初期感染ベクターとして機能し、自身のバイナリからHardBitのペイロードを復号・抽出してから実行します。

感染すると、マルウェアは自身をWindowsのシステムディレクトリにコピーし、実行ファイルが開かれるたびに自動起動するようレジストリキーを変更することで永続性を確立し、システム再起動後も継続して存在し続けます。

初期アクセスとラテラルムーブメント

攻撃チェーンは、NLBruteなどのツールを用いて、開放されたRDPおよびSMBサービスを標的にしたブルートフォース攻撃から始まります。

初期アクセスを確保すると、脅威アクターはMimikatzを含むカスタムのバッチスクリプトを展開し、侵害されたシステムから認証情報を収集します。

収集した認証情報により、攻撃者はネットワーク内を横展開（ラテラルムーブメント）できるようになり、正規のリモートアクセスプロトコルを利用して、従来の境界防御を作動させることなく足場を拡大します。

認証情報の窃取後、脅威アクターはKPortScan 3.0を使用してポート3389上の追加RDPエンドポイントを特定し、Advanced Port Scannerでより広範なネットワーク列挙を行うなど、ネットワーク偵察を実行します。

5-NS new.exeユーティリティは利用可能なネットワーク共有を特定し、ラテラルムーブメントの潜在的な標的の包括的なマップを作成します。この体系的なアプローチにより、オペレーターはインフラ全体に複数のアクセスポイントを確立できます。

HardBit 4.0の特徴的な機能として、実行時の認可要件があります。このランサムウェアは、実行前に特定の認可資格情報（暗号化されたIDと暗号化キー）を要求し、サンドボックス分析や自動検知を困難にします。

このパスフレーズ保護機構により、オペレーターは適切な資格情報を用いてペイロードを手動で展開する必要があり、分析中の偶発的な露出リスクを低減します。

マルウェアは、レジストリの変更とPowerShellコマンドを通じてWindows Defenderを積極的に無効化し、改ざん防止（Tamper Protection）、リアルタイム監視（Real-Time Monitoring）、アンチスパイウェア機能を体系的に標的とします。

バイナリ自体は、静的解析を回避するよう設計されたConfuserExの改変版であるRyan-_-Borland_Protector Cracked v1.0によって難読化されています。

暗号化を開始する前に、HardBitはバックアップソフトウェアやセキュリティツールを含む重要なサービスを停止します。

組織は、ネットワークセグメンテーション、強固な認証、継続的な監視を通じて、RDPおよびSMBサービスの保護を優先すべきです。

その後、マルウェアはシャドウコピーを削除し、Windowsのブートステータスポリシーを無効化することで復旧手段を排除し、身代金を支払わずに復旧することを事実上不可能にします。

暗号化されたファイルにはカスタムアイコンが付与され、デスクトップの壁紙は身代金要求の通知に置き換えられます。

注目すべき点として、HardBit 4.0のGUI版には、設定ファイルを通じて有効化される「Wiper」モードが含まれています。

有効化すると、マルウェアは暗号化ではなくデータを恒久的に破壊します。これは、恐喝よりもデータ破壊を優先するオペレーター向けのオプションアップグレードとして販売されている可能性が高い機能です。

Mimikatzの実行やネットワークスキャン活動に対する振る舞い検知を実装することで、ラテラルムーブメントが発生する前に攻撃チェーンを遮断できます。

定期的なセキュリティ更新と包括的なバックアップソリューションの維持は、HardBitランサムウェアの脅威を軽減するうえで引き続き不可欠です。