Nouvelle Variante de HardBit 4.0 : Amélioration de la Furtivité et de la Persistance des Ransomwares
La nouvelle variante du ransomware HardBit augmente la furtivité et la persistance
Le virus ransomware-as-a-service (RaaS) HardBit possède une nouvelle variante qui augmente la capacité du ransomware à éviter la détection, à établir une persistance et à empêcher la récupération. Cybereason a fait état de la nouvelle variante HardBit 4.0 dans un article de blog la semaine dernière, soulignant deux mises à jour principales : la protection par mot de passe et l’emballage avec le virus Neshta, qui est devenu un dropper de ransomware populaire ces dernières années.
Qu’est-ce que le ransomware HardBit ?
Le groupe de ransomware HardBit est apparu pour la première fois en 2022 et ne dispose pas de site de fuite public, la plupart des communications avec ses victimes se faisant via le service de messagerie crypté Tox. Néanmoins, la demande de rançon de HardBit menace de publier les données des victimes si une rançon n’est pas payée.
On ne sait pas actuellement comment les acteurs de la menace HardBit obtiennent l’accès initial aux systèmes des victimes, bien que Cybereason ait noté avoir observé des preuves de force brute du protocole de bureau à distance (RDP) et du blocage des messages du serveur (SMB) dans ses recherches.
Fonctionnalités de HardBit 4.0
Protection par mot de passe et emballage avec Neshta
L’une des nouvelles fonctionnalités notables de la dernière variante de HardBit est son emballage et sa livraison par le virus Neshta, ajoutant une couche supplémentaire d’obfuscation et rendant le malware plus difficile à supprimer du système de la victime. Neshta est actif depuis 2003 et a été utilisé par divers acteurs de la menace et groupes de ransomware comme un dropper pour les charges utiles de malware ces dernières années. Le binaire HardBit 4.0 compressé est déposé par Neshta dans le répertoire %TEMP% puis exécuté par Neshta à l’aide de ShellExecuteA.
Neshta établit sa persistance en se copiant dans le répertoire %SYSTEMROOT% déguisé en service Windows légitime « svchost.com » et en mettant à jour la clé de registre HKLM\SOFTWARE\Classes\exefile\shell\open\command pour exécuter cette copie « svchost.com » à chaque lancement d’un exécutable, a expliqué Cybereason. Tout exécutable sous les répertoires %TEMP%, %SYSTEMROOT% ou \PROGRA-1\ est ciblé par Neshta pour l’infection.
Interface Utilisateur et Commande
Depuis HardBit 3.0, le groupe RaaS propose deux versions différentes du ransomware : CLI, qui consiste en une seule chaîne d’exécution, ou GUI, qui donne à l’attaquant plus de contrôle sur le flux d’exécution. De plus, la version GUI contient également deux « modes » d’attaque différents, permettant aux acteurs malveillants de choisir entre le chiffrement des fichiers des victimes ou leur suppression. Les chercheurs ont noté que l’option d’effacement ne peut être utilisée que si l’attaquant a accès à un fichier de configuration appelé « hard.txt », ce qui suggère que ce mode nécessite un achat supplémentaire auprès du groupe HardBit.
Menaces et Défenses
Accès Initial et Mouvement Latéral
Une fois que les attaquants obtiennent l’accès initial, ils utilisent l’outil d’extraction d’informations d’identification Windows Mimikatz, l’outil de forçage brut RDP NLBrute et les outils de découverte de réseau Advanced Port Scanner, KPortScan 3.0 et 5-NS new.exe pour faciliter le mouvement latéral, en infectant autant de machines que possible au sein d’un réseau d’entreprise.
Une fois le ransomware exécuté, il commence à crypter les fichiers, remplace les icônes des fichiers cryptés par le logo HardBit et modifie l’arrière-plan du bureau de la machine par un message indiquant : « Si vous voyez cet arrière-plan, vous êtes définitivement crypté par HardBit 4.0. Ne stressez pas et lisez simplement le fichier d’aide. Tout y est écrit. »
Désactivation des Défenses et Suppression des Sauvegardes
HardBit 2.0 à 4.0 incluent tous des mesures pour désactiver Windows Defender, empêcher la récupération et supprimer les sauvegardes via les outils BCDEdit, Vssadmin, WBAdmin et WMIC, et obscurcir le binaire .NET du ransomware à l’aide de l’outil de compression Ryan-_-Borland_Protector Cracked v1.0, qui est censé être une version modifiée du packer .NET open source ConfuserEx.
Exigences de Rançon et Manipulation des Assurances
La demande de rançon de HardBit demande aux victimes d’indiquer aux attaquants la rançon maximale que leur plan d’assurance de cybersécurité couvrira, en précisant : « Étant donné que l’agent d’assurance sournois négocie délibérément pour ne pas payer la réclamation d’assurance, seule la compagnie d’assurance gagne dans cette situation. Pour éviter tout cela et obtenir l’argent de l’assurance, assurez-vous de nous informer de manière anonyme de la disponibilité et des conditions de la couverture d’assurance, cela profite à la fois à vous et à nous. »
Étant donné l’absence de site de fuite public pour HardBit, on sait peu de choses sur les victimes du groupe, et les méthodes d’exfiltration de données utilisées par le groupe et ses affiliés n’ont pas encore été identifiées. L’activité continue et l’évolution du ransomware soulignent la nécessité de solutions robustes pour empêcher les exécutions malveillantes, protéger les sauvegardes et détecter de manière fiable les téléchargements dangereux comme Neshta avant qu’ils ne s’implantent dans le réseau d’une organisation.
La nouvelle variante de HardBit 4.0 montre à quel point les ransomwares continuent d’évoluer et de s’adapter. Les entreprises doivent rester vigilantes, adopter des solutions de sécurité avancées et rester informées des dernières menaces pour protéger efficacement leurs systèmes et leurs données critiques.