Эксперты «РТК-Солар» выпустили дешифратор для шифровальщика HardBit

Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации. Эксперты центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» провели анализ образцов всех версий HardBit и нашли способ расшифровать файлы. Подробности исследования и ссылка на декриптор опубликованы в отчете на сайте компании.

Киберпреступная группировка HardBit известна с октября 2022 года, она шифрует данные компаний и связывается с жертвой по электронной почте и мессенджеру Tox, требуя выкуп в биткоинах за расшифровку. Ранее об атаках группировки писали только зарубежные компании, однако в Solar JSOC CERT обратился российский заказчик, атакованный шифровальщиком HardBit 3.0. Злоумышленники запросили $25 тысяч за 15 атакованных хостов.

Эксперты Solar JSOC CERT проанализировали образец исполняемого файла, полученный от заказчика, а также другие образцы различных версий HardBit. В HardBit 1.0. применялся асимметричный алгоритм шифрования — в этом случае данные нельзя расшифровать без ключа злоумышленников. В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования. Это позволило экспертам Solar JSOC CERT расшифровать данные.

Можно предположить, что злоумышленники тратят мало времени на выпуск новых версий. Между первой и второй версиями HardBit прошло меньше месяца. Между второй и третьей версией программы прошло три месяца.

«HardBit может исправить уязвимости в своем алгоритме шифрования и новую версию HardBit 4.0, в появлении которой мы уверены, уже будет невозможно расшифровать без приватных ключей злоумышленников. Предсказать дату ее релиза нельзя, но, скорее всего, к концу года можно ожидать новые образцы на VirusTotal. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию», — поясняет Антон Каргин, инженер технического расследования Solar JSOC CERT компании «РТК-Солар».

Несколько интересных фактов. В коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr» — это может быть намеком на месторасположение разработчиков шифровальщика или ложным флагом, чтобы сбить с толку исследователей. Также удалось найти образцы, предшествующие HardBit, что подтверждает факт разработки шифровальщиков ещё до официального создания группировки. Кроме того, исследователи обнаружили образец с графическим интерфейсом и функционалом вайпера (вредоноса для уничтожения данных на компьютере жертвы), что расширяет арсенал группировки.

С полной версией отчета можно ознакомиться по ссылке.

Центр расследования киберинцидентов Solar JSOC CERT начал свою работу в 2017 году. Центр занимается расследованием инцидентов любой сложности, включая продвинутые атаки от группировок уровня иностранных спецслужб. Так, в 2021 году совместно с НКЦКИ была выявлена заблокирована серия масштабных атак иностранных хакеров на федеральные органы власти РФ, а также предотвращена попытка ботнета Meris захватить более 45 тыс. устройств. Исследовательская лаборатория Solar JSOC CERT ежедневно актуализирует уникальную базу индикаторов и знаний о новых угрозах за счет мониторинга и анализа инфраструктур более 280 клиентов, коммерческих подписок, информационных обменов развернутой сети сенсоров и ханипотов «Ростелеком-Солар». Решающую роль в проактивной защите от угроз играет направление Threat Hunting, в рамках которого специалисты непрерывно изучают деятельность злоумышленников, выявляют профили их поведения и в результате совершенствуют сервисы центра противодействия киберугрозам Solar JSOC с учетом обнаруженных новых техник и тактик.