La evolución constante del ransomware ha traído consigo una nueva amenaza que desafía las medidas de seguridad tradicionales: HardBit 4.0. Este malware no solo cifra los archivos de sus víctimas, sino que también emplea avanzadas técnicas de ofuscación y una innovadora protección con contraseña, complicando enormemente su detección y mitigación.
El grupo de ransomware HardBit ha lanzado la versión 4.0 de su software malicioso, introduciendo avanzadas técnicas de ofuscación y protección con contraseña, complicando así el análisis por parte de los investigadores de ciberseguridad. Desde su identificación en octubre de 2022, HardBit se ha destacado por sus tácticas de doble extorsión con fines económicos, presionando a las víctimas para que paguen rescates sin recurrir a un sitio de filtración de datos.
Investigadores han señalado importantes mejoras en esta nueva versión:
Te podrá interesar leer: Detección de Ataques de Ransomware con Wazuh
A pesar de las nuevas características introducidas en HardBit 4.0, el grupo detrás de este ransomware mantiene tácticas operativas similares a las versiones anteriores. Su principal canal de comunicación sigue siendo el servicio de mensajería instantánea Tox. Su estrategia de extorsión se basa en amenazar con futuros ataques, en lugar de filtrar datos robados. Aunque el vector de acceso inicial no se ha determinado con exactitud, se sospecha que emplean ataques de fuerza bruta contra servicios RDP y SMB.
Una vez que los atacantes han penetrado en una red, utilizan herramientas como Mimikatz y NLBrute para el robo de credenciales, y Advanced Port Scanner para el reconocimiento de la red. Estas herramientas les permiten moverse lateralmente dentro de la red a través de RDP. El ransomware HardBit ejecuta una serie de pasos para debilitar la seguridad del sistema antes de cifrar los datos, incluyendo:
Te podrá interesar leer: Fase 3 del Mitre ATT&CK: Movimiento Lateral
HardBit se propaga a través del virus infectador de archivos Neshta, conocido anteriormente por distribuir otros ransomware como Big Head. Este ransomware puede operar tanto en modo de línea de comandos como en GUI y requiere una ID de autorización para su ejecución. La versión GUI incluye una función de borrado, que puede eliminar archivos de manera irreversible y limpiar el disco. Este modo debe ser habilitado por el grupo de ransomware y probablemente es una función adicional que los operadores deben adquirir.
La evolución de HardBit coincide con informes de una empresa de ciberseguridad sobre ataques de ransomware CACTUS que explotan vulnerabilidades en Ivanti Sentry (CVE-2023-38035). Estos ataques utilizan herramientas legítimas de escritorio remoto como AnyDesk y Splashtop para desplegar el ransomware.
Podrá interesarte leer: Costo de Inacción en Ciberseguridad
HardBit 4.0 representa un avance significativo en la evolución del ransomware, con sus técnicas de ofuscación y protección con contraseña que dificultan enormemente su detección y mitigación. Para enfrentarse a esta amenaza, es crucial que tanto las empresas como los usuarios individuales adopten medidas de seguridad robustas y se mantengan informados sobre las últimas tendencias en ciberseguridad. La colaboración global y el uso de tecnologías avanzadas serán fundamentales para combatir eficazmente esta y futuras amenazas cibernéticas.