Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации. Эксперты центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» провели анализ образцов всех версий HardBit и нашли способ расшифровать файлы. Подробности исследования и ссылка на декриптор опубликованы в отчете на сайте компании.

Киберпреступная группировка HardBit известна с октября 2022 года, она шифрует данные компаний и связывается с жертвой по электронной почте и мессенджеру Tox, требуя выкуп в биткоинах за расшифровку. Ранее об атаках группировки писали только зарубежные компании, однако в Solar JSOC CERT обратился российский заказчик, атакованный шифровальщиком HardBit 3.0. Злоумышленники запросили $25 тысяч за 15 атакованных хостов.

Эксперты Solar JSOC CERT проанализировали образец исполняемого файла, полученный от заказчика, а также другие образцы различных версий HardBit. В HardBit 1.0. применялся асимметричный алгоритм шифрования — в этом случае данные нельзя расшифровать без ключа злоумышленников. В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования. Это позволило экспертам Solar JSOC CERT расшифровать данные.

Можно предположить, что злоумышленники тратят мало времени на выпуск новых версий. Между первой и второй версиями HardBit прошло меньше месяца. Между второй и третьей версией программы прошло три месяца.

«HardBit может исправить уязвимости в своем алгоритме шифрования и новую версию HardBit 4.0, в появлении которой мы уверены, уже будет невозможно расшифровать без приватных ключей злоумышленников. Предсказать дату ее релиза нельзя, но, скорее всего, к концу года можно ожидать новые образцы на VirusTotal. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию», — поясняет Антон Каргин, инженер технического расследования Solar JSOC CERT компании «РТК-Солар».

Несколько интересных фактов. В коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr» — это может быть намеком на месторасположение разработчиков шифровальщика или ложным флагом, чтобы сбить с толку исследователей. Также удалось найти образцы, предшествующие HardBit, что подтверждает факт разработки шифровальщиков ещё до официального создания группировки. Кроме того, исследователи обнаружили образец с графическим интерфейсом и функционалом вайпера (вредоноса для уничтожения данных на компьютере жертвы), что расширяет арсенал группировки.

С полной версией отчета можно ознакомиться по ссылке.

Центр расследования киберинцидентов Solar JSOC CERT начал свою работу в 2017 году. Центр занимается расследованием инцидентов любой сложности, включая продвинутые атаки от группировок уровня иностранных спецслужб. Так, в 2021 году совместно с НКЦКИ была выявлена заблокирована серия масштабных атак иностранных хакеров на федеральные органы власти РФ, а также предотвращена попытка ботнета Meris захватить более 45 тыс. устройств. Исследовательская лаборатория Solar JSOC CERT ежедневно актуализирует уникальную базу индикаторов и знаний о новых угрозах за счет мониторинга и анализа инфраструктур более 280 клиентов, коммерческих подписок, информационных обменов развернутой сети сенсоров и ханипотов «Ростелеком-Солар». Решающую роль в проактивной защите от угроз играет направление Threat Hunting, в рамках которого специалисты непрерывно изучают деятельность злоумышленников, выявляют профили их поведения и в результате совершенствуют сервисы центра противодействия киберугрозам Solar JSOC с учетом обнаруженных новых техник и тактик.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Готовь киберщит заранее: «Солар» запускает подписку на реагирование и расследование кибератак

Готовь киберщит заранее: «Солар» запускает подписку на реагирование и расследование кибератак

Узнать больше
Данные решений Dozor, webProxy и inRights надежно защищены СУБД Jatoba

Данные решений Dozor, webProxy и inRights надежно защищены СУБД Jatoba

Узнать больше
Решения СберТеха и «Солара» помогают бизнесу создать эффективную систему защиты информации

Решения СберТеха и «Солара» помогают бизнесу создать эффективную систему защиты информации

Узнать больше
Атаковали почти 900 серверов в 58 странах мира: Solar 4RAYS об-наружила новую хакерскую группировку Proxy Trickster

Атаковали почти 900 серверов в 58 странах мира: Solar 4RAYS об-наружила новую хакерскую группировку Proxy Trickster

Узнать больше
Продвинутый интеллект для средств защиты: «Солар» запускает подписку на правила выявления киберугроз

Продвинутый интеллект для средств защиты: «Солар» запускает подписку на правила выявления киберугроз

Узнать больше
«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

«Солар» запустил облачное решение по анализу Open Source для команд IT-разработки и стартапов

Узнать больше
Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Единое управление для всех NGFW: «Солар» упрощает защиту распределенных корпоративных сетей

Узнать больше
Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше