HardBit 2.0 Ransomware
HardBit wurde erstmals im Oktober 2022 entdeckt und ist eine Ransomware-Bedrohung, die entwickelt wurde, um Unternehmen und Organisationen ins Visier zu nehmen und Opfer mit Zahlungen in Form von Kryptowährung zu erpressen, damit ihre Daten entschlüsselt werden. Diese bedrohliche Software hat sich seitdem zu ihrer zweiten Version, HardBit 2.0, entwickelt, die gegen Ende November 2022 beobachtet wurde und sich in den späteren Monaten des Jahres 2022 und darüber hinaus weiter verbreitete. Diese Ransomware funktioniert ähnlich wie andere moderne Varianten, indem sie sensible Daten sammelt, sobald sie ein Netzwerk infiltriert, bevor sie ihre Nutzlast startet, um alle Dateien auf dem System zu verschlüsseln. Details über die Bedrohung und ihre schädlichen Fähigkeiten wurden in einem Bericht von Malware-Experten veröffentlicht.
Inhaltsverzeichnis
Das HardBit 2.0 fragt nach Details zur Cyber-Sicherheitsversicherung des Opfers
Im Gegensatz zu vielen anderen Ransomware-Cybergangs haben die Betreiber von HardBit keine spezielle Leckage-Site, was bedeutet, dass die Opfer nicht mit der öffentlichen Offenlegung ihrer missbrauchten Daten bedroht sind. Die Gruppe droht jedoch mit weiteren Angriffen, sollten ihre Forderungen nicht erfüllt werden.
Um die HardBit-Handler zu kontaktieren, müssen die Opfer die vordefinierte Lösegeldforderung verwenden, die in der Malware-Bedrohung enthalten ist. Dieser Hinweis ermutigt die Opfer, sie per E-Mail oder über die Tox-Instant-Messaging-Plattform zu kontaktieren, um Verhandlungen darüber zu führen, wie viel Bitcoin sie für den Entschlüsselungsschlüssel bezahlen sollen. Darüber hinaus werden diejenigen mit Cyber-Versicherungen gebeten, Details mitzuteilen, damit ihre Forderungen entsprechend angepasst werden können.
Die HardBit 2.0 Ransomware löscht Backups und untergräbt die Sicherheit von Geräten
Um eine Analyse in der Sandbox-Umgebung des Opfers zu vermeiden, sammelt die HardBit-Ransomware Informationen über den Host des Opfers, indem sie webbasierte Unternehmensverwaltungs- und Windows Management Instrumentation (WMI)-Funktionen nutzt. Die Ransomware erhält verschiedene Systemdetails wie die installierten Hardwarekomponenten, Netzwerkadaptereinstellungen sowie IP-Konfiguration und MAC-Adresse, Hersteller und BIOS-Version des Systems, Benutzername und Computername sowie Zeitzoneninformationen.
Um ihre Markenidentität auf verschlüsselten Dateien zu etablieren, legt die Ransomware-Payload ein benutzerdefiniertes HardBit-Dateisymbol im Dokumentenordner des Opfers ab. Darüber hinaus registriert die Ransomware eine Klasse in der Windows-Registrierung, um die Dateierweiterung „.hardbit2“ mit dem abgelegten Symbol zu verknüpfen.
Als gängige Taktik, die von den meisten modernen Ransomware-Bedrohungen angewendet wird, ergreift HardBit mehrere Vorverschlüsselungsmaßnahmen, um die Sicherheitslage des Opferhosts zu verringern. Beispielsweise wird der Shadow Volume Copy Service (VSS) mit dem Service Control Manager gelöscht, um Wiederherstellungsbemühungen zu verhindern. Der Katalog des Windows-Sicherungsdienstprogramms wird zusammen mit allen Schattenkopien ebenfalls entfernt, um Wiederherstellungsversuche zu vereiteln.
Um die Erkennung und Unterbrechung des Ransomware-Prozesses zu vermeiden, werden verschiedene Windows Defender Antivirus-Funktionen durch eine Reihe von Änderungen in der Windows-Registrierung deaktiviert. Zu diesen deaktivierten Funktionen gehören Manipulationsschutz, Anti-Spyware-Funktionen, Echtzeit-Verhaltensüberwachung, Echtzeit-On-Access-Schutz und Echtzeit-Prozess-Scanning.
Um sicherzustellen, dass die HardBit-Ransomware-Payload bei jedem Systemneustart automatisch ausgeführt wird, wird eine Version der Ransomware in den „Startup“-Ordner des Opfers kopiert. Wenn diese Datei noch nicht vorhanden ist, wird die ausführbare Datei umbenannt, um die legitime ausführbare Datei des Diensthosts „svchost.exe“ nachzuahmen, damit sie nicht erkannt wird.
Der Verschlüsselungsprozess und die Anforderungen von HardBit 2.0 Ransomware
Nachdem die verfügbaren Laufwerke und Volumes auf dem Computer des Opfers ermittelt wurden, scannt die Payload der HardBit-Ransomware die identifizierten Verzeichnisse und Dateien, um alle Daten für die Verschlüsselung zu lokalisieren. Dateien, die für die Verschlüsselung ausgewählt wurden, werden geöffnet und dann überschrieben, was eine Taktik ist, die verwendet wird, um Wiederherstellungsbemühungen zu behindern. Diese Technik wird verwendet, anstatt verschlüsselte Daten in eine neue Datei zu schreiben und das Original zu löschen, was ein weniger ausgefeilter Ansatz ist.
Sobald die Dateien verschlüsselt sind, werden sie mit einem scheinbar zufälligen Dateinamen umbenannt, gefolgt von einer Kennung, die eine Kontakt-E-Mail-Adresse, „threatactor@example.tld“, und die Dateierweiterung „.hardbit2“ enthält. Zusätzlich werden eine Lösegeldforderung im Klartext und eine Lösegeldforderung für HTML-Anwendungen (HTA) in das Stammverzeichnis des Laufwerks und alle Ordner geschrieben, die verschlüsselte Dateien enthalten. Diese Lösegeldscheine enthalten Anweisungen zur Zahlung des Lösegeldes und zum Erhalt des Entschlüsselungsschlüssels.
Nach Abschluss des Verschlüsselungsprozesses wird eine Bilddatei auf dem Desktop des Opfers gespeichert und als Systemhintergrund festgelegt.
Der Text der Forderungen von HardBit 2.0 Ransomware lautet:
'¦¦¦¦¦HARDBIT RANSOMWARE¦¦¦¦¦
----
was ist passiert?
Alle Ihre Dateien wurden gestohlen und dann verschlüsselt. Aber keine Sorge, alles ist sicher und wird an Sie zurückgeschickt.
----
Wie bekomme ich meine Dateien zurück?
Sie müssen uns bezahlen, um die Dateien zurückzubekommen. Wir haben keine Bank- oder Paypal-Konten, Sie müssen uns nur per Bitcoin bezahlen.
----
Wie kann ich Bitcoins kaufen?
Sie können Bitcoins von allen seriösen Seiten der Welt kaufen und an uns senden. Suchen Sie einfach nach Bitcoins im Internet. Unser Vorschlag sind diese Seiten.
>>https://www.binance.com/en<< >>https://www.coinbase.com/<< >>https://localbitcoins.com/<< >>https://www.bybit .com/en-US/<<
----
Was ist Ihre Garantie für die Wiederherstellung von Dateien?
Es ist nur ein Geschäft. Wir kümmern uns absolut nicht um Sie und Ihre Geschäfte, außer um Vorteile zu erhalten. Wenn wir unsere Arbeit und unsere Verpflichtungen nicht erfüllen, wird niemand mit uns zusammenarbeiten. Es ist nicht in unserem Interesse.
Um die Möglichkeit der Rücksendung von Dateien zu prüfen, können Sie uns 2 beliebige Dateien mit EINFACHEN Erweiterungen (jpg, xls, doc usw. ... keine Datenbanken!) und geringen Größen (max. 1 MB) zusenden, wir werden sie entschlüsseln und zurücksenden für dich.
Das ist unsere Garantie.
----
Wie kann ich mit Ihnen Kontakt aufnehmen?
Oder kontaktieren Sie uns per E-Mail: >>godgood55@tutanota.com<< oder >>alexgod5566@xyzmailpro.com<<
----
Wie wird der Zahlungsprozess nach der Zahlung sein?
Nach der Zahlung senden wir Ihnen das Entschlüsselungstool zusammen mit der Anleitung zu und begleiten Sie, bis die letzte Datei entschlüsselt ist.
----
Was passiert, wenn ich Sie nicht bezahle?
Wenn Sie uns nicht bezahlen, haben Sie niemals Zugriff auf Ihre Dateien, da der private Schlüssel nur in unseren Händen ist. Diese Transaktion ist für uns nicht wichtig,
aber es ist Ihnen wichtig, denn Sie haben nicht nur keinen Zugriff auf Ihre Dateien, sondern verlieren auch Zeit. Und je mehr Zeit vergeht, desto mehr werden Sie verlieren und
Wenn Sie das Lösegeld nicht zahlen, werden wir Ihr Unternehmen in Zukunft erneut angreifen.
----
Was sind Ihre Empfehlungen?
- Ändern Sie niemals den Namen der Dateien, wenn Sie die Dateien manipulieren möchten, stellen Sie sicher, dass Sie eine Sicherungskopie davon erstellen. Wenn es ein Problem mit den Dateien gibt, sind wir nicht dafür verantwortlich.
- Arbeiten Sie niemals mit Zwischenfirmen zusammen, da diese mehr Geld von Ihnen verlangen. Wenn wir Sie zum Beispiel um 50.000 Dollar bitten, werden sie Ihnen 55.000 Dollar sagen. Scheuen Sie sich nicht vor uns, rufen Sie uns einfach an.
----
Sehr wichtig! Für diejenigen, die eine Cyber-Versicherung gegen Ransomware-Angriffe haben.
Versicherungsgesellschaften verlangen von Ihnen, Ihre Versicherungsdaten geheim zu halten, dh niemals den im Vertrag festgelegten Höchstbetrag oder gar nichts zu zahlen, was die Verhandlungen stört.
Die Versicherungsgesellschaft wird versuchen, die Verhandlungen auf jede erdenkliche Weise zum Scheitern zu bringen, damit sie später argumentieren kann, dass Ihnen der Versicherungsschutz verweigert wird, weil Ihre Versicherung den Lösegeldbetrag nicht abdeckt.
Zum Beispiel ist Ihr Unternehmen für 10 Millionen Dollar versichert, während Sie mit Ihrem Versicherungsagenten über das Lösegeld verhandeln, wird er uns den geringstmöglichen Betrag anbieten, zum Beispiel 100.000 Dollar,
Wir werden den dürftigen Betrag ablehnen und zum Beispiel den Betrag von 15 Millionen Dollar verlangen, der Versicherungsagent wird uns niemals die Obergrenze Ihrer Versicherung von 10 Millionen Dollar anbieten.
Er wird alles tun, um die Verhandlungen zum Scheitern zu bringen und sich weigern, uns vollständig auszuzahlen und Sie mit Ihrem Problem allein zu lassen. Wenn Sie uns anonym mitteilen, dass Ihr Unternehmen für 10 Millionen US-Dollar und andere versichert ist
wichtige Details zum Versicherungsschutz, würden wir im Schriftverkehr mit dem Versicherungsagenten nicht mehr als 10 Millionen Dollar verlangen. Auf diese Weise hätten Sie ein Leck vermieden und Ihre Informationen entschlüsselt.
Da der hinterhältige Versicherungsagent aber bewusst verhandelt, um den Versicherungsanspruch nicht zu bezahlen, gewinnt in dieser Situation nur die Versicherungsgesellschaft. Um all dies zu vermeiden und das Geld für die Versicherung zu bekommen,
Informieren Sie uns unbedingt anonym über die Verfügbarkeit und die Bedingungen des Versicherungsschutzes, es kommt sowohl Ihnen als auch uns zugute, aber nicht der Versicherungsgesellschaft. Arme Multimillionärsversicherer werden das nicht tun
verhungern und werden durch die Zahlung des im Vertrag festgelegten Höchstbetrags nicht ärmer, denn jeder weiß, dass der Vertrag teurer ist als Geld, also lass sie die Bedingungen erfüllen
durch unser Zusammenspiel in Ihrem Versicherungsvertrag vorgeschrieben.
-------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -------------------------------------------------- -----
Ihre ID :
Dein Schlüssel :'
