Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации.
В настоящем отчете приведен анализ предоставленного образца HardBit. Эксперты Solar 4RAYS рассказали, за счет чего и для каких версий HardBit возможна расшифровка, представили декриптор, а также провели анализ других версий шифровальщика.
Ключевые тезисы
- HardBit публично известна с октября 2022 года, требует выкуп в биткоинах за расшифровку данных, связываются с жертвами через электронную почту и мессенджер Tox.
- В HardBit 1.0. применялся асимметричный алгоритм шифрования, из-за чего данные нельзя было расшифровать без ключа злоумышленников.
- В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования, что позволило экспертам Solar JSOC CERT расшифровать данные.
- В коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr», однако это может быть «ложным флагом».
- Исследователи обнаружили образец HardBit с графическим интерфейсом и функционалом вайпера, что расширяет арсенал группировки.
- Злоумышленники, вероятно, исправят все ошибки в новой версии вредоноса. Целями группировки на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию.