HardBit fidye yazılımı, savunmasız ağ hizmetleri aracılığıyla kalıcılık sağlamak için gelişmiş mekanizmalar sunan 4.0 sürümünün piyasaya sürülmesiyle gelişimini sürdürüyor.
En yeni varyant, giriş noktaları olarak açık Uzak Masaüstü Protokolü (RDP) ve Sunucu Mesaj Bloğu (SMB) hizmetlerinden yararlanarak, tehdit aktörlerinin güvenlik analizini ve müdahale çabalarını karmaşıklaştıran gelişmiş kaçırma tekniklerini kullanırken, güvenliği ihlal edilmiş ağlara uzun vadeli erişimi sürdürmesine olanak tanır.
Önceki modellerden farklı olarak HardBit 4.0, Neshta dosya bulaştırıcısını bir damlalık mekanizması olarak kullanıyor ve bu da geleneksel dağıtım yöntemlerinden önemli bir fark yaratıyor.
2003’ten beri aktif olan Neshta, HardBit yükünün şifresini çözerek ve onu çalıştırmadan önce kendi ikili dosyasından çıkararak ilk enfeksiyon vektörü olarak hizmet ediyor.
Kötü amaçlı yazılım bulaştığında, kendisini Windows sistem dizinine kopyalayarak ve kayıt defteri anahtarlarını yürütülebilir dosyalar açıldığında otomatik olarak başlayacak şekilde değiştirerek kalıcılık sağlar ve sistem yeniden başlatıldıktan sonra bile varlığın devam etmesini sağlar.
İlk Erişim ve Yanal Hareket
Saldırı zinciri, NLBrute gibi araçları kullanan açık RDP ve SMB hizmetlerini hedef alan kaba kuvvet saldırılarıyla başlar.
İlk erişim güvence altına alındıktan sonra tehdit aktörleri, güvenliği ihlal edilmiş sistemlerden kimlik bilgilerini toplamak için Mimikatz içeren özel bir toplu komut dosyası dağıtır.
Toplanan kimlik bilgileri, saldırganların geleneksel çevre savunmalarını tetiklemeden dayanaklarını genişletmek için yasal uzaktan erişim protokollerini kullanarak ağ üzerinde yanal olarak hareket etmelerine olanak tanır.
Kimlik bilgisi hırsızlığının ardından tehdit aktörleri, daha geniş ağ numaralandırması gerçekleştirmek için 3389 numaralı bağlantı noktasındaki ek RDP uç noktalarını ve Gelişmiş Bağlantı Noktası Tarayıcısını belirlemek için KPortScan 3.0’ı kullanarak ağ keşif işlemi gerçekleştirir.
5-NS new.exe yardımcı programı, kullanılabilir ağ paylaşımlarını tanımlayarak yanal hareket için potansiyel hedeflerin kapsamlı bir haritasını oluşturur. Bu sistematik yaklaşım, operatörlerin altyapı genelinde birden fazla erişim noktası kurmasına olanak tanır.
HardBit 4.0’ın ayırt edici bir özelliği, çalışma zamanı yetkilendirme gerekliliğidir. Fidye yazılımı, yürütülmeden önce belirli yetkilendirme bilgileri, şifrelenmiş bir kimlik ve şifreleme anahtarı talep ediyor, bu da korumalı alan analizini ve otomatik algılamayı karmaşık hale getiriyor.
Bu parola koruma mekanizması, operatörleri veri yükünü uygun kimlik bilgileriyle manuel olarak dağıtmaya zorlayarak analiz sırasında kazara maruz kalma riskini azaltır.
Kötü amaçlı yazılım, kayıt defteri değişiklikleri ve PowerShell komutları yoluyla Windows Defender’ı agresif bir şekilde devre dışı bırakır ve Kurcalamaya Karşı Koruma, Gerçek Zamanlı İzleme ve Casus Yazılım Önleme özelliklerini sistematik olarak hedefler.
İkili dosyanın kendisi, statik analizden kaçınmak için tasarlanmış ConfuserEx’in değiştirilmiş bir çeşidi olan Ryan-_-Borland_Protector Cracked v1.0 kullanılarak karartılmıştır.
Şifreleme ve Veri İmhası
HardBit, şifrelemeyi başlatmadan önce yedekleme yazılımı ve güvenlik araçları dahil kritik hizmetleri durdurur.
| Tehdit Kimliği | Tehdit Adı | Saldırı Modülü |
|---|---|---|
| 83232 | HardBit 2.0 Fidye Yazılımı İndirme Tehdidi | Ağ Sızıntısı |
| 43877 | HardBit 2.0 Fidye Yazılımı E-posta Tehdidi | Ağ Sızıntısı |
| 36087 | HardBit 3.0 Fidye Yazılımı İndirme Tehdidi | Ağ Sızıntısı |
| 87265 | HardBit 3.0 Fidye Yazılımı E-posta Tehdidi | E-posta Sızıntısı |
| 40412 | HardBit 4.0 Fidye Yazılımı İndirme Tehdidi | Ağ Sızıntısı |
| 72598 | HardBit 4.0 Fidye Yazılımı E-posta Tehdidi | E-posta Sızıntısı |
Kuruluşlar, ağ bölümleme, güçlü kimlik doğrulama ve sürekli izleme yoluyla RDP ve SMB hizmetlerinin güvenliğinin sağlanmasına öncelik vermelidir.
Kötü amaçlı yazılım daha sonra gölge kopyaları silerek ve Windows önyükleme durumu ilkesini kapatarak kurtarma mekanizmalarını ortadan kaldırır ve fidyeyi ödemeden kurtarmayı etkili bir şekilde engeller.
Şifrelenmiş dosyalar özel simgelerle işaretlenir ve masaüstü duvar kağıdının yerini bir fidye bildirimi alır.
Özellikle HardBit 4.0’ın GUI sürümü, yapılandırma dosyaları aracılığıyla etkinleştirilen bir “Silecek” modu içerir.
Etkinleştirildiğinde, kötü amaçlı yazılım, verileri şifrelemek yerine kalıcı olarak yok eder; bu özellik, büyük olasılıkla, gasp yerine veri imhasına öncelik veren operatörlere isteğe bağlı bir yükseltme olarak satılmaktadır.
Mimikatz yürütme ve ağ tarama etkinlikleri için davranışsal algılamanın uygulanması, yanal hareket meydana gelmeden saldırı zincirini bozabilir.
HardBit fidye yazılımı tehditlerini azaltmak için düzenli güvenlik güncellemeleri ve kapsamlı yedekleme çözümlerinin sürdürülmesi temel olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.