HardBit Fidye Yazılımı Algılanmayı Atlatmak İçin Parola Korumasını Kullanıyor


2022 yılında HardBit Ransomware 4.0 versiyonuyla karşımıza çıktı. Tipik ransomware gruplarının aksine bu ransomware sızıntı siteleri veya çift gasp kullanmıyor.

Taktikleri arasında veri hırsızlığı, şifreleme ve diğer saldırı tehditleriyle birlikte fidye talepleri yer alıyor.

Cybereason’daki siber güvenlik araştırmacıları, HardBit fidye yazılımının güvenlik önlemlerini atlatmak için Parola korumasını aktif olarak kullandığını tespit etti.

HardBit Fidye Yazılımı ve Parola Koruması

TOX adında bir peer-to-peer mesajlaşma sistemi aracılığıyla konuşuyorlar. İlk enfeksiyon yöntemlerinin ne olduğu bilinmese de bazı yönlerden LockBit Ransomware’e benziyorlar.

Gözlemlenen TTP’ler, RDP ve SMB kaba kuvvet saldırıları, Mimikatz NLBrute kullanılarak kimlik bilgisi hırsızlığı ve muhtemelen LaZagne NirSoft araçlarının kullanımını içermektedir.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files

Picofile’dan program indirdikleri biliniyordu[.]com, Farsça bir dosya paylaşım sitesidir.

Brute Forcing Sunucusunda Açık Portlar Algılandı (Kaynak – Cybereason)

Cyberreason raporunda, tehdit aktörlerinin RDP üzerinden hareket etmek için Advanced Port Scanner ve KPortScan 3.0 gibi ağ keşif araçlarını kullandığı belirtiliyor.

Neshta virüsüyle birlikte dosyaları bozan ve enfeksiyonu uzun süre koruyan HardBit fidye yazılımını yüklediler.

HardBit Paketlenmiş Neshta Yürütme Akışı (Kaynak – Cybereason)

HardBit fidye yazılımı bir yetkilendirme kimliği ve şifreleme anahtarının girilmesini gerektirir. Ayrıca Windows Defender’ı kapatır, hizmetleri durdurur ve dosya şifrelemesinden önce BCDEdit, Vssadmin, WBAdmin ve WMIC kullanarak sistem kurtarmayı engeller.

HardBit Ransomware Yürütme Prosedürü (Kaynak – Cybereason)

İkili paket açma, dosya bulaştırmanın yanı sıra başarılı yürütmeyi sağlamak ve kurtarmayı önlemek için sistemlerin manipüle edilmesini de içeren karmaşık fidye yazılımı sürecinin bir parçasıdır.

HardBit fidye yazılımı dosyaları seçici olarak şifreler, enfekte olmuş makineleri günceller ve şifrelenmiş e-posta kişileri kullanır. Ryan-_-Borland_Protector Cracked v1.0, değiştirilmiş bir ConfuserEx ile gizlenmiştir.

GUI sürümü fidye ve silme modları sunar, silme modu ek yetkilendirme gerektirir. Yapılandırma dosyası hard.txt silme modunu etkinleştirebilir.

HardBit, işlevsellik ve karartma tekniklerindeki artan karmaşıklıkla birlikte 2.0, 3.0 ve 4.0 sürümleriyle gelişti.

Öneriler

Aşağıda tüm önerilerimizi belirttik:

  • Kötü amaçlı dosyaların yürütülmesini engellemek için Uygulama Denetimini etkinleştirin.
  • Tahmini Fidye Yazılımı Korumasını Etkinleştirin.
  • Tahmini Fidye Yazılımı Koruması kullanılamıyorsa, Fidye Yazılımına Karşı Koruma’yı etkinleştirin.
  • Güvenlik çözümünüzde Varyant Yük Önlemesini Önleme moduyla etkinleştirin.

“Sisteminiz Saldırı Altında mı? Cynet XDR’yi deneyin: Uç Noktalar, Ağlar ve Kullanıcılar için Otomatik Algılama ve Yanıt!” – Ücretsiz Demo



Source link