HardBit 勒索软件的新变种

关键要点

新版 HardBit 40 增强了隐蔽性和恢复防护能力。新增 口令保护 和与 Neshta 病毒的结合，增加了攻击的复杂性。攻击者可选择 命令行界面 (CLI) 或 图形用户界面 (GUI) 版本进行操作。仍未确定 HardBit 如何初始入侵受害系统，可能与 RDP 和 SMB 劫持相关。

HardBit 勒索软件服务 (RaaS) 新变种具备更强的隐蔽性、持久性以及恢复阻碍能力。根据 Cybereason 上周公布的 博客文章，HardBit 40 主要有两个更新：口令保护和与流行的勒索软件投放工具 Neshta 病毒的结合。

海鸥加速器旧版

最新版本还沿用了 HardBit 30 的一项显著特性：提供了独立的命令行 (CLI) 和图形用户界面 (GUI) 版本，使 HardBit 用户在攻击中有更多选择。

什么是 HardBit 勒索软件？

HardBit 勒索软件组织自 2022 年首次出现，并没有公开的泄露网站，大多数与受害者的互动都通过加密消息服务 Tox 进行。尽管如此，HardBit 的赎金声明威胁称如果不支付赎金就会公开受害者的数据。

目前尚不清楚 HardBit 威胁行为者是如何获取受害者系统的初始访问权限，Cybereason 指出，在其研究中观察到远程桌面协议 (RDP) 和服务器消息块 (SMB) 的暴力破解证据。

一旦攻击者获得初始访问权限，他们会使用 Windows 凭证提取工具 Mimikatz、RDP 暴力破解工具 NLBrute 和网络发现工具如 Advanced Port Scanner、KPortScan 30 和 5NS newexe进行横向移动，尽可能感染企业网络中的所有机器。

一旦勒索软件被执行，它开始加密文件，更改加密文件的图标为 HardBit 标志，并改变机器的桌面背景，显示信息：“如果你看到这个背景，那你肯定已经被 HardBit 40 加密。不要紧张，只需阅读帮助文件。所有信息都在那儿。”

HardBit 20 到 40 均包含关闭 Windows Defender、阻止恢复并通过 BCDEdit、Vssadmin、WBAdmin 和 WMIC 工具删除备份的措施，并且使用 RyanBorlandProtector Cracked v10 打包工具对勒索软件的 NET 二进制文件进行混淆，该工具被认为是开源的 ConfuserEx NET 打包工具的修改版。

HardBit 的赎金说明中 指示受害者告知攻击者其网络安全保险计划能够覆盖的最大赎金，声明：“由于狡猾的保险代理人故意谈判，以避免支付保险索赔，因此在这种情况下，只有保险公司获利。为了避免这一切，并获得保险金，请务必匿名告知我们保险覆盖的可用性和条款，这对你我都有好处。”

HardBit 40 的新特性

最新 HardBit 变种的一个显著新特性是通过 Neshta 病毒进行打包和传递，增加了混淆层，使恶意软件更难从受害者的系统中删除。

根据 Cybereason 的说法，Neshta 自 2003 年起活跃，近年来被各种威胁行为者和勒索软件组织作为恶意软件有效负载的投放工具。被 Neshta 打包的 HardBit 40 二进制文件会被放置于 TEMP 目录中，并由 Neshta 使用 ShellExecuteA 执行。

Neshta 通过将自身复制到 SYSTEMROOT 目录并伪装成合法的 Windows 服务 “svchostcom”，以及更新 HKLMSOFTWAREClassesexefileshellopencommand 注册表项，在每次运行可执行文件时启动这个 “svchostcom” 副本，来实现持续性。Cybereason 解释道