يستخدم برنامج HardBit Ransomware 4.0 الجديد حماية عبارة المرور لتجنب اكتشافه
سلط باحثو الأمن السيبراني الضوء على نسخة جديدة من سلالة برامج الفدية تسمى HardBit والتي تأتي مزودة بتقنيات تشويش جديدة لردع جهود التحليل.
“على عكس الإصدارات السابقة، قامت مجموعة HardBit Ransomware بتحسين الإصدار 4.0 من خلال حماية عبارة المرور،” هذا ما قاله باحثا Cybereason Kotaro Ogino وKoshi Oyama. قال في التحليل.
“يجب توفير عبارة المرور أثناء وقت التشغيل حتى يتم تنفيذ برنامج الفدية بشكل صحيح. التعتيم الإضافي يعيق الباحثين الأمنيين من تحليل البرامج الضارة.”
هاردبيت، والتي ظهرت لأول مرة في أكتوبر 2022، هو جهة تهديد ذات دوافع مالية تعمل، على غرار مجموعات برامج الفدية الأخرى، بهدف تحقيق إيرادات غير مشروعة عبر أساليب الابتزاز المزدوج.
ما يجعل مجموعة التهديد بارزة هو أنها لا تدير موقعًا لتسريب البيانات، وبدلاً من ذلك تضغط على الضحايا للدفع من خلال التهديد بتنفيذ هجمات إضافية في المستقبل. يتم وضع الاتصال الأساسي الخاص به عبر خدمة الرسائل الفورية Tox.
إن ناقل الوصول الأولي الدقيق المستخدم لاختراق البيئات المستهدفة غير واضح حاليًا، على الرغم من الاشتباه في أنه يتضمن خدمات RDP وSMB شديدة القوة.
تشمل خطوات المتابعة تنفيذ سرقة بيانات الاعتماد باستخدام أدوات مثل Mimikatz وNLBrute، واكتشاف الشبكة عبر أدوات مساعدة مثل Advanced Port Scanner، مما يسمح للمهاجمين بالتحرك أفقيًا عبر الشبكة عن طريق RDP.
“بعد اختراق مضيف الضحية، يتم تنفيذ حمولة برنامج الفدية HardBit وتنفيذ عدد من الخطوات التي تقلل من الوضع الأمني للمضيف قبل تشفير بيانات الضحية،” فارونيس ذُكر في كتابتها الفنية حول HardBit 2.0 العام الماضي.
يتم تشفير مضيفي الضحية عن طريق نشر HardBit، والذي يتم تسليمه باستخدام فيروس معروف للملفات يسمى نيشتا. تجدر الإشارة إلى أن جهات التهديد استخدمت Neshta في الماضي لتوزيع برامج الفدية Big Head أيضًا.
تم تصميم HardBit أيضًا لتعطيل Microsoft Defender Antivirus وإنهاء العمليات والخدمات لتجنب الكشف المحتمل عن أنشطته ومنع استرداد النظام. ثم يقوم بعد ذلك بتشفير الملفات ذات الأهمية، وتحديث أيقوناتها، وتغيير خلفية سطح المكتب، وتغيير تسمية وحدة تخزين النظام بسلسلة “Locked by HardBit”.
إلى جانب تقديمه للمشغلين في شكل سطر أوامر أو إصدارات واجهة المستخدم الرسومية، يتطلب برنامج الفدية معرف ترخيص حتى يتم تنفيذه بنجاح. تدعم نكهة واجهة المستخدم الرسومية أيضًا وضع المسح لمسح الملفات ومسح القرص بشكل لا رجعة فيه.
وأشار Cybereason إلى أنه “بمجرد قيام الجهات الفاعلة في مجال التهديد بإدخال معرف التفويض الذي تم فك تشفيره بنجاح، يطالب HardBit بمفتاح تشفير لتشفير الملفات الموجودة على الأجهزة المستهدفة ويستمر في إجراء برنامج الفدية”.
“تحتاج ميزة وضع المسح إلى التمكين بواسطة مجموعة HardBit Ransomware، ومن المحتمل أن تكون هذه الميزة ميزة إضافية يحتاج المشغلون إلى شرائها. إذا احتاج المشغلون إلى وضع المسح، فسيحتاج المشغل إلى نشر ملف hard.txt، وهو ملف تكوين اختياري لـ HardBit ثنائي ويحتوي على معرف الترخيص لتمكين وضع الماسحة.”
ويأتي هذا التطوير من قبل شركة الأمن السيبراني Trellix مفصلة هجوم برنامج طلب الفدية CACTUS الذي تمت ملاحظته وهو يستغل الثغرات الأمنية في Ivanti Sentry (CVE-2023-38035) لتثبيت البرنامج الضار الذي يقوم بتشفير الملفات باستخدام أدوات سطح المكتب البعيد المشروعة مثل AnyDesk وSplashtop.
يستمر نشاط برامج الفدية “في الاتجاه التصاعدي” في عام 2024، حيث أعلن ممثلو برامج الفدية عن 962 هجومًا في الربع الأول من عام 2024، ارتفاعًا من 886 هجومًا تم الإبلاغ عنها على أساس سنوي. وقالت سيمانتيك إن LockBit وAkira وBlackSuit برزت باعتبارها أكثر عائلات برامج الفدية انتشارًا خلال هذه الفترة الزمنية.
وفقًا لتقرير الاستجابة للحوادث الصادر عن وحدة 42 لعام 2024 من بالو ألتو نتوركس، فإن الوقت المتوسط وانخفضت تكاليف الانتقال من التسوية إلى تسريب البيانات من تسعة أيام في عام 2021 إلى يومين في العام الماضي. وفي ما يقرب من نصف الحالات (45%) هذا العام، كانت المدة أقل بقليل من 24 ساعة.
وقالت الشركة المملوكة لشركة Broadcom: “تشير الأدلة المتوفرة إلى أن استغلال نقاط الضعف المعروفة في التطبيقات العامة لا يزال هو الناقل الرئيسي لهجمات برامج الفدية”. قال. “لا يزال إحضار برنامج التشغيل الخاص بك (BYOVD) هو التكتيك المفضل بين مجموعات برامج الفدية، خاصة كوسيلة لتعطيل الحلول الأمنية.”
إرسال التعليق