Peneliti keamanan siber telah mengungkap versi baru dari jenis ransomware bernama HardBit yang dilengkapi dengan teknik Obfuscation baru untuk menghalangi upaya analisis.
"Tidak seperti versi sebelumnya, kelompok HardBit Ransomware menyempurnakan versi 4.0 dengan perlindungan sandi," kata peneliti Cybereason Kotaro Ogino dan Koshi Oyama dalam sebuah analisis.
"sandi perlu diberikan selama runtime agar ransomware dapat dijalankan dengan benar. Obsfuscation tambahan menghalangi peneliti keamanan untuk menganalisis malware."
HardBit, yang pertama kali muncul pada Oktober 2022, adalah penjahat yang bermotif finansial yang, seperti kelompok ransomware lainnya, beroperasi dengan tujuan untuk menghasilkan pendapatan melalui taktik pemerasan.
Yang membuat kelompok ini menonjol adalah bahwa mereka tidak mengoperasikan situs kebocoran data, dan sebaliknya menekan korban untuk membayar dengan mengancam akan melakukan serangan tambahan di masa mendatang. Modus komunikasi utamanya terjadi melalui layanan pesan instan Tox.
Vektor akses awal yang digunakan untuk membobol lingkungan target saat ini belum jelas, meskipun diduga melibatkan layanan RDP dan SMB yang di bruteforce.
Langkah-langkah lanjutan dari malware ini yaitu melakukan pencurian kredensial menggunakan tool seperti Mimikatz dan NLBrute, dan pencarian jaringan melalui utilitas seperti Advanced Port Scanner, yang memungkinkan penyerang untuk bergerak secara lateral melintasi jaringan melalui RDP.
"Setelah menjebol host korban, muatan ransomware HardBit dijalankan dan melakukan sejumlah langkah yang mengurangi level keamanan host sebelum mengenkripsi data korban," Varonis mencatat dalam tulisan teknisnya tentang HardBit 2.0 tahun lalu.
Enkripsi host korban dilakukan dengan menyebarkan HardBit, yang dikirimkan menggunakan virus penginfeksi file yang dikenal bernama Neshta. Perlu dicatat bahwa Neshta telah digunakan oleh pelaku ancaman di masa lalu untuk juga mendistribusikan ransomware Big Head.
HardBit juga dirancang untuk menonaktifkan Microsoft Defender Antivirus dan menghentikan proses dan layanan untuk menghindari potensi deteksi aktivitasnya dan menghambat pemulihan sistem. Kemudian, ia mengenkripsi file yang diinginkan, memperbarui ikonnya, mengubah wallpaper desktop, dan mengubah label volume sistem dengan string "Locked by HardBit."
Selain ditawarkan kepada operator dalam bentuk versi baris perintah atau GUI, ransomware ini juga memerlukan ID otorisasi agar dapat berhasil dijalankan. Varian GUI tersebut juga mendukung mode wiper untuk menghapus file dan menghapus disk secara permanen.
"Setelah pelaku berhasil memasukkan ID otorisasi yang didekodekan, HardBit meminta kunci enkripsi untuk mengenkripsi file pada mesin target dan melanjutkan prosedur ransomware," catat Cybereason.
"Fitur mode wiper perlu diaktifkan oleh grup HardBit Ransomware dan fitur tersebut kemungkinan merupakan fitur tambahan yang perlu dibeli oleh operator. Jika operator memerlukan mode wiper, operator perlu menggunakan hard.txt, file konfigurasi opsional biner HardBit dan berisi ID otorisasi untuk mengaktifkan mode wiper."
Perkembangan ini terjadi saat firma keamanan siber Trellix merinci serangan ransomware CACTUS yang telah diamati mengeksploitasi kelemahan keamanan di Ivanti Sentry (CVE-2023-38035) untuk memasang malware enkripsi file menggunakan alat desktop jarak jauh yang sah seperti AnyDesk dan Splashtop.
sumber: thehackernews