นักวิจัยด้านความปลอดภัยทางไซเบอร์เปิดเผยข้อมูลเกี่ยวกับเวอร์ชันใหม่ของ ransomware ที่ชื่อว่า HardBit ซึ่งมาพร้อมกับเทคนิคการซ่อนตัวรูปแบบใหม่เพื่อขัดขวางความพยายามในการวิเคราะห์

Kotaro Ogino และ Koshi Oyama นักวิจัยจาก Cybereason ระบุในรายงานการวิเคราะห์ว่า "ความแตกต่างจากเวอร์ชันก่อนหน้าคือ กลุ่ม HardBit Ransomware ได้ทำการในปรับปรุงเวอร์ชัน 4.0 ด้วยการเพิ่มการป้องกันด้วยรหัสผ่าน"

"จำเป็นจะต้องมีการกรอกรหัสผ่านในระหว่างการทำงานเพื่อให้ ransomware ทำงานได้อย่างถูกต้อง รวมถึงวิธีการซ่อนตัวเพิ่มเติมยังเป็นอุปสรรคต่อนักวิจัยในการวิเคราะห์มัลแวร์"

HardBit ถูกพบครั้งแรกในเดือนตุลาคม 2022 โดยเป็นกลุ่มแฮ็กเกอร์ที่มีแรงจูงใจทางการเงินเช่นเดียวกับกลุ่ม ransomware อื่น ๆ ที่ดำเนินการโดยมีเป้าหมายเพื่อสร้างรายได้ที่ผิดกฎหมายผ่านการขู่เรียกค่าไถ่

สิ่งที่ทำให้กลุ่มนี้แตกต่างออกไปคือ พวกเขาไม่ได้ดำเนินการเผยแพร่ข้อมูลรั่วไหลบนเว็บไซต์ แต่จะใช้วิธีกดดันเหยื่อให้จ่ายเงินโดยขู่ว่าจะโจมตีเพิ่มเติมในอนาคต โดยจะใช้วิธีการสื่อสารกับเหยื่อผ่านทาง Tox instant messaging

ยังไม่ชัดเจนว่ามีการใช้วิธีการใดในการเข้าถึงระบบของเหยื่อในเบื้องต้น แต่คาดว่าน่าจะเป็นการโจมตีในลักษณะ brute force ในบริการ RDP และ SMB

โดยขั้นตอนต่อไปจะเป็นการขโมยข้อมูล credential โดยใช้เครื่องมือ เช่น Mimikatz และ NLBrute และการสแกนเครือข่ายด้วย Advanced Port Scanner ทำให้ผู้โจมตีสามารถโจมตีต่อไปยังภายในเครือข่ายได้โดยใช้ RDP

Varonis ระบุในบทวิเคราะห์ทางเทคนิคเกี่ยวกับ HardBit 2.0 เมื่อปีที่แล้วว่า "เมื่อเข้าถึง host ของเหยื่อได้แล้ว HardBit ransomware จะถูกเรียกใช้ และดำเนินการหลายขั้นตอนที่ลดระดับความปลอดภัยของเครื่องเหยื่อก่อนที่ข้อมูลจะถูกเข้ารหัส"

การเข้ารหัสเครื่องของเหยื่อจะดำเนินการโดยใช้ HardBit ที่ถูกส่งผ่านมัลแวร์ที่รู้จักกันในชื่อ Neshta ซึ่ง Neshta เคยถูกใช้โดยกลุ่มแฮ็กเกอร์ในอดีตเพื่อแพร่กระจาย Big Head ransomware อีกด้วย

HardBit ยังถูกออกแบบมาให้ปิดการทำงานของ Microsoft Defender Antivirus และหยุด processes และ services ต่าง ๆ เพื่อหลีกเลี่ยงการตรวจจับ activities ที่เกิดขึ้น และขัดขวางการกู้คืนระบบ จากนั้นจะเข้ารหัสไฟล์ที่น่าสนใจ, เปลี่ยนไอคอน, เปลี่ยนวอลเปเปอร์เดสก์ท็อป และเปลี่ยนชื่อระบบด้วย string "Locked by HardBit"

นอกจากจะสามารถดำเนินการได้ทั้งในรูปแบบของ command-line หรือ GUI แล้ว ransomware ยังต้องมีการกรอก authorization ID เพื่อให้สามารถทำงานได้สมบูรณ์ รวมถึง GUI ยังรองรับโหมดลบข้อมูล (wiper mode) เพื่อลบไฟล์ และข้อมูลบนฮาร์ดดิสก์อย่างถาวรอีกด้วย

Cybereason ระบุว่า "เมื่อแฮ็กเกอร์ที่นำไปใช้สามารถกรอกรหัส authorization ID ได้ถูกต้อง HardBit จะแจ้งให้ใส่คีย์เข้ารหัสเพื่อเข้ารหัสไฟล์บนเครื่องเป้าหมาย และดำเนินการตามขั้นตอนของ ransomware"

"ฟีเจอร์โหมดลบข้อมูลจำเป็นต้องถูกเปิดใช้งานโดยกลุ่ม HardBit Ransomware และฟีเจอร์นี้น่าจะเป็นฟีเจอร์เพิ่มเติมที่แฮ็กเกอร์ที่นำไปใช้ต้องซื้อเพิ่มหากต้องการโหมดลบข้อมูล โดยจะต้องนำไฟล์ hard.