Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации.

В настоящем отчете приведен анализ предоставленного образца HardBit. Эксперты Solar JSOC CERT рассказали, за счет чего и для каких версий HardBit возможна расшифровка, представили декриптор, а также провели анализ других версий шифровальщика.

Ключевые тезисы

  • HardBit публично известна с октября 2022 года, требует выкуп в биткоинах за расшифровку данных, связываются с жертвами через электронную почту и мессенджер Tox.

  • В HardBit 1.0. применялся асимметричный алгоритм шифрования, из-за чего данные нельзя было расшифровать без ключа злоумышленников.

  • В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования, что позволило экспертам Solar JSOC CERT расшифровать данные.

  • В коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr», однако это может быть «ложным флагом».

  • Исследователи обнаружили образец HardBit с графическим интерфейсом и функционалом вайпера, что расширяет арсенал группировки.

  • Злоумышленники, вероятно, исправят все ошибки в новой версии вредоноса. Целями группировки на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию.