HardBit 2.0 Ransomware
Detectado por primera vez en octubre de 2022, HardBit es una amenaza de ransomware que se ha desarrollado para apuntar a empresas y organizaciones, extorsionando a las víctimas con pagos en forma de criptomoneda para que sus datos sean descifrados. Desde entonces, este software amenazante ha evolucionado a su segunda versión, HardBit 2.0, que se observó a fines de noviembre de 2022 y continuó propagándose durante los últimos meses de 2022 y más allá. Este ransomware funciona de manera similar a otras variantes modernas al recopilar datos confidenciales tan pronto como se infiltra en una red antes de lanzar su carga útil para cifrar todos los archivos en el sistema. Los detalles sobre la amenaza y sus capacidades dañinas fueron publicados en un informe de expertos en malware.
Tabla de contenido
El HardBit 2.0 pide los detalles del seguro de ciberseguridad de las víctimas
A diferencia de muchas otras pandillas cibernéticas de ransomware, los operadores de HardBit no tienen un sitio de fuga dedicado, lo que significa que las víctimas no están amenazadas con la exposición pública de sus datos malversados. Sin embargo, el grupo amenaza con más ataques si no se cumplen sus demandas.
Para ponerse en contacto con los controladores de HardBit, las víctimas deben usar la nota de rescate predefinida contenida en la amenaza de malware. Esta nota alienta a las víctimas a comunicarse con ellos por correo electrónico o la plataforma de mensajería instantánea Tox para negociar sobre cuánto bitcoin deben pagar por la clave de descifrado. Además de esto, se les pide a aquellos con pólizas de seguro cibernético que compartan detalles para que sus demandas puedan ajustarse en consecuencia.
El ransomware HardBit 2.0 elimina las copias de seguridad y socava la seguridad de los dispositivos
Para evitar ser analizado en el entorno de pruebas de la víctima, el HardBit Ransomware recopila información sobre el host de la víctima mediante el uso de funciones de administración empresarial basadas en la web y Windows Management Instrumentation (WMI). El ransomware obtiene varios detalles del sistema, como los componentes de hardware instalados, la configuración del adaptador de red, así como la configuración IP y la dirección MAC, el fabricante del sistema y la versión del BIOS, el nombre de usuario y el nombre de la computadora y la información de la zona horaria.
Para establecer su identidad de marca en archivos cifrados, la carga útil del ransomware coloca un icono de archivo HardBit personalizado en la carpeta de documentos de la víctima. Además, el ransomware registra una clase dentro del Registro de Windows para asociar la extensión de archivo '.hardbit2' con el ícono caído.
Como táctica común empleada por la mayoría de las amenazas de ransomware modernas, HardBit toma varias medidas de cifrado previo para reducir la postura de seguridad del host de la víctima. Por ejemplo, el Servicio de instantáneas de volumen (VSS) se elimina mediante el Administrador de control de servicios para evitar los esfuerzos de recuperación. El catálogo de la utilidad de copia de seguridad de Windows también se elimina, junto con las instantáneas, para frustrar cualquier intento de recuperación.
Para evitar la detección y la interrupción del proceso de ransomware, varias características del Antivirus de Windows Defender se deshabilitan a través de una serie de cambios en el Registro de Windows. Estas características deshabilitadas incluyen protección contra manipulaciones, capacidades anti-spyware, monitoreo de comportamiento en tiempo real, protección en tiempo real durante el acceso y escaneo de procesos en tiempo real.
Para garantizar que la carga útil de HardBit Ransomware se ejecute automáticamente cada vez que se reinicia el sistema, se copia una versión del ransomware en la carpeta "Inicio" de la víctima. Si este archivo aún no está presente, se cambia el nombre del ejecutable para imitar el archivo ejecutable del host de servicio legítimo, 'svchost.exe', para evitar ser detectado.
El proceso de cifrado y las exigencias del ransomware HardBit 2.0
Después de determinar las unidades y los volúmenes disponibles en la máquina de la víctima, la carga útil del ransomware HardBit escanea los directorios y archivos identificados para identificar cualquier dato para el cifrado. Los archivos que han sido seleccionados para el cifrado se abren y luego se sobrescriben, lo cual es una táctica utilizada para obstaculizar los esfuerzos de recuperación. Esta técnica se utiliza en lugar de escribir datos cifrados en un archivo nuevo y eliminar el original, que es un enfoque menos sofisticado.
Una vez que se cifran los archivos, se les cambia el nombre con un nombre de archivo aparentemente aleatorio seguido de un identificador que incluye una dirección de correo electrónico de contacto, 'threatactor@example.tld', y la extensión de archivo '.hardbit2'. Además, se escribe una nota de rescate de texto sin formato y una nota de rescate de aplicación HTML (HTA) en la raíz de la unidad y en todas las carpetas que contienen archivos cifrados. Estas notas de rescate brindan instrucciones sobre cómo pagar el rescate y recibir la clave de descifrado.
Al completar el proceso de cifrado, se guarda un archivo de imagen en el escritorio de la víctima y se establece como fondo de pantalla del sistema.
El texto de las demandas de HardBit 2.0 Ransomware es:
'¦¦¦¦¦HARDBITRANSOMWARE¦¦¦¦¦
----
¿qué pasó?
Todos sus archivos han sido robados y luego encriptados. Pero no te preocupes, todo está a salvo y te será devuelto.
----
¿Cómo puedo recuperar mis archivos?
Tiene que pagarnos para recuperar los archivos. No tenemos cuentas bancarias ni de paypal, solo tienes que pagarnos a través de Bitcoin.
----
¿Cómo puedo comprar bitcoins?
Puede comprar bitcoins en todos los sitios de confianza del mundo y enviárnoslos. Simplemente busque cómo comprar bitcoins en Internet. Nuestra sugerencia son estos sitios.
>>https://www.binance.com/es<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
¿Cuál es su garantía para restaurar archivos?
Es solo un negocio. Absolutamente no nos preocupamos por usted y sus ofertas, excepto obtener beneficios. Si no hacemos nuestro trabajo y responsabilidades, nadie cooperará con nosotros. No es de nuestro interés.
Para verificar la capacidad de devolver archivos, puede enviarnos 2 archivos con extensiones SIMPLES (jpg, xls, doc, etc... ¡no bases de datos!) y tamaños bajos (máximo 1 mb), los descifraremos y los enviaremos de regreso A usted.
Esa es nuestra garantía.
----
¿Cómo contactar contigo?
O contáctenos por correo electrónico:>>godgood55@tutanota.com<< o >>alexgod5566@xyzmailpro.com<<
----
¿Cómo será el proceso de pago después del pago?
Después del pago, le enviaremos la herramienta de descifrado junto con la guía y estaremos con usted hasta que se descifre el último archivo.
----
¿Qué pasa si no te pago?
Si no nos paga, nunca tendrá acceso a sus archivos porque la clave privada solo está en nuestras manos. Esta transacción no es importante para nosotros,
pero es importante para ti, porque no solo no tienes acceso a tus archivos, sino que también pierdes tiempo. Y cuanto más tiempo pase, más perderás y
Si no paga el rescate, volveremos a atacar a su empresa en el futuro.
----
¿Cuáles son sus recomendaciones?
- Nunca cambie el nombre de los archivos, si desea manipular los archivos, asegúrese de hacer una copia de seguridad de los mismos. Si hay un problema con los archivos, no nos hacemos responsables.
- Nunca trabajes con empresas intermediarias, porque te cobran más dinero. Por ejemplo, si te pedimos 50.000 dólares, te dirán 55.000 dólares. No nos tengas miedo, solo llámanos.
----
¡Muy importante! Para aquellos que tienen seguro cibernético contra ataques de ransomware.
Las compañías de seguros le exigen que mantenga en secreto la información de su seguro, es decir, que nunca pague la cantidad máxima especificada en el contrato o que no pague nada, interrumpiendo las negociaciones.
La compañía de seguros intentará descarrilar las negociaciones de cualquier manera que pueda para luego argumentar que se le negará la cobertura porque su seguro no cubre el monto del rescate.
Por ejemplo su empresa está asegurada por 10 millones de dólares, mientras negocia con su agente de seguros sobre el rescate nos ofrecerá la cantidad más baja posible, por ejemplo 100 mil dólares,
Rechazaremos la cantidad insignificante y pediremos por ejemplo la cantidad de 15 millones de dólares, el agente de seguros nunca nos ofrecerá el límite máximo de su seguro de 10 millones de dólares.
Hará cualquier cosa para descarrilar las negociaciones y se negará a pagarnos por completo y lo dejará solo con su problema. Si nos dijo de forma anónima que su empresa estaba asegurada por $10 millones y otros
detalles importantes con respecto a la cobertura del seguro, no exigiríamos más de $10 millones en correspondencia con el agente de seguros. De esa manera, habría evitado una fuga y descifrado su información.
Pero dado que el agente de seguros astuto negocia deliberadamente para no pagar el reclamo del seguro, solo la compañía de seguros gana en esta situación. Para evitar todo esto y sacar el dinero del seguro,
asegúrese de informarnos de forma anónima sobre la disponibilidad y los términos de la cobertura del seguro, lo beneficia tanto a usted como a nosotros, pero no beneficia a la compañía de seguros. Los pobres multimillonarios aseguradores no
morir de hambre y no empobrecerse con el pago de la cantidad máxima especificada en el contrato, porque todos saben que el contrato es más caro que el dinero, así que que cumplan las condiciones
prescrito en su contrato de seguro, gracias a nuestra interacción.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Tu identificación :
Tu llave :'
