Voor de nieuwste 4.0-versie van de HardBit ransomware is een passphrase nodig tijdens runtime om deze goed uit te kunnen voeren. Ook komt het in twee smaken: een command-line interface en een GUI. Op die manier kunnen criminelen met verschillende vaardigheidsniveaus ermee aan de slag. Dat blijkt uit een analyse van cybersecurityspecialisten die wijzen op de mate van verfijning en gebruiksvriendelijkheid van deze ransomware.
Ook bevat de malware verschillende obfuscatiemethoden om het analyseren ervan te bemoeilijken, schrijven onderzoekers Kotaro Ogino en Koshi Oyama in een analyse van HardBit 4.0. De methode van aflevering is redelijk conventioneel, dat gebeurt namelijk via virusprogramma Neshta die code toevoegt aan uitvoerbare bestanden.
Zoals veel ransomware biedt de club achter HardBit 4.0 hun dienst te koop aan (ransomware-as-a-service) aan andere criminelen, maar zelf zijn ze ook actief met hun eigen malware. In tegenstelling tot andere groepen in het recente verleden zetten ze geen gestolen gegevens op criminele marktplaatsen of ‘leak sites’. Ze lijken dus niet aan ‘double extortion’ te doen waarmee data zowel wordt versleuteld als gestolen.
In plaats daarvan versleutelen ze alleen de data, eisen ze losgeld en dreigen meer aanvallen uit te voeren. Om te communiceren met hun slachtoffers gebruiken ze instant messaging platform TOX. De aanvankelijke ‘losgeldbrief’ bevat de TOX-ID die het slachtoffer moet gebruiken om met de criminelen te communiceren. HardBit lijkt qua presentatie en werkwijze enkele overeenkomsten te hebben met LockBit, maar dat kan ook kopieergedrag zijn.
Brute-forcing van RDP en SMB
De onderzoekers zeggen niet precies te weten hoe de criminelen achter de HardBit 4.0-malware aanvankelijk toegang krijgen, maar vermoeden dat ze hiervoor open Remote Desktop Protocol (RDP) en Server Message Block (SMB)-diensten brute-forcen. Eenmaal afgeleverd, schakelt de malware Microsoft Defender Antivirus uit en andere processen en diensten die kunnen leiden tot de ontdekking ervan of gemakkelijk herstel van het aangetaste systeem. Nadat bestanden zijn versleuteld past de malware iconen aan, verandert de achtergrond van de desktop en wijzigt deze het volumelabel in ‘Locked by HardBit’.
Hardbit betreft een .NET binary en is verborgen in packer Ryan-_-Borland_Protector Cracked v1.0. Dit is waarschijnlijk een aangepaste versie van een andere obfuscatietool die ConfuserEx heet. Deze heeft een lange staat van dienst onder cybercriminelen, onder meer voor de RedLine Infostealer-campagne.
Lees ook: De onzichtbare kosten van ransomware