La evolución constante del ransomware ha traído consigo una nueva amenaza que desafía las medidas de seguridad tradicionales: HardBit 4.0. Este malware no solo cifra los archivos de sus víctimas, sino que también emplea avanzadas técnicas de ofuscación y una innovadora protección con contraseña, complicando enormemente su detección y mitigación.
¿Qué es HardBit?
El grupo de ransomware HardBit ha lanzado la versión 4.0 de su software malicioso, introduciendo avanzadas técnicas de ofuscación y protección con contraseña, complicando así el análisis por parte de los investigadores de ciberseguridad. Desde su identificación en octubre de 2022, HardBit se ha destacado por sus tácticas de doble extorsión con fines económicos, presionando a las víctimas para que paguen rescates sin recurrir a un sitio de filtración de datos.
Novedades en HardBit 4.0
Investigadores han señalado importantes mejoras en esta nueva versión:
- Protección con frase de contraseña: Ahora el ransomware exige una frase de contraseña durante su ejecución, añadiendo una capa extra de seguridad que dificulta aún más los esfuerzos de análisis.
- Técnicas avanzadas de ofuscación: Se han implementado técnicas de ofuscación mejoradas para obstaculizar la ingeniería inversa y el análisis por parte de expertos en seguridad.
Te podrá interesar leer: Detección de Ataques de Ransomware con Wazuh
Tácticas Operativas
A pesar de las nuevas características introducidas en HardBit 4.0, el grupo detrás de este ransomware mantiene tácticas operativas similares a las versiones anteriores. Su principal canal de comunicación sigue siendo el servicio de mensajería instantánea Tox. Su estrategia de extorsión se basa en amenazar con futuros ataques, en lugar de filtrar datos robados. Aunque el vector de acceso inicial no se ha determinado con exactitud, se sospecha que emplean ataques de fuerza bruta contra servicios RDP y SMB.
Una vez que los atacantes han penetrado en una red, utilizan herramientas como Mimikatz y NLBrute para el robo de credenciales, y Advanced Port Scanner para el reconocimiento de la red. Estas herramientas les permiten moverse lateralmente dentro de la red a través de RDP. El ransomware HardBit ejecuta una serie de pasos para debilitar la seguridad del sistema antes de cifrar los datos, incluyendo:
- Deshabilitar el antivirus Microsoft Defender.
- Terminar procesos y servicios para evitar la detección y dificultar la recuperación.
- Cifrar archivos y actualizar sus iconos.
- Cambiar el fondo de pantalla del escritorio y modificar la etiqueta del volumen del sistema a “Bloqueado por HardBit”.
Te podrá interesar leer: Fase 3 del Mitre ATT&CK: Movimiento Lateral
Despliegue y Ejecución
HardBit se propaga a través del virus infectador de archivos Neshta, conocido anteriormente por distribuir otros ransomware como Big Head. Este ransomware puede operar tanto en modo de línea de comandos como en GUI y requiere una ID de autorización para su ejecución. La versión GUI incluye una función de borrado, que puede eliminar archivos de manera irreversible y limpiar el disco. Este modo debe ser habilitado por el grupo de ransomware y probablemente es una función adicional que los operadores deben adquirir.
La evolución de HardBit coincide con informes de una empresa de ciberseguridad sobre ataques de ransomware CACTUS que explotan vulnerabilidades en Ivanti Sentry (CVE-2023-38035). Estos ataques utilizan herramientas legítimas de escritorio remoto como AnyDesk y Splashtop para desplegar el ransomware.
Podrá interesarte leer: Costo de Inacción en Ciberseguridad
Conclusión
HardBit 4.0 representa un avance significativo en la evolución del ransomware, con sus técnicas de ofuscación y protección con contraseña que dificultan enormemente su detección y mitigación. Para enfrentarse a esta amenaza, es crucial que tanto las empresas como los usuarios individuales adopten medidas de seguridad robustas y se mantengan informados sobre las últimas tendencias en ciberseguridad. La colaboración global y el uso de tecnologías avanzadas serán fundamentales para combatir eficazmente esta y futuras amenazas cibernéticas.