15 de julio de 2024Sala de prensaSeguridad de la red / Protección de datos Los investigadores de ciberseguridad han arrojado luz sobre una nueva versión de una cepa de ransomware llamada HardBit que viene empaquetada con nuevas técnicas de ofuscación para disuadir los esfuerzos de análisis. «A diferencia de las versiones anteriores, el grupo HardBit Ransomware mejoró la versión 4.0 con protección de frase de contraseña», dijeron los investigadores de Cybereason Kotaro Ogino y Koshi Oyama en un análisis. «La frase de contraseña debe proporcionarse durante el tiempo de ejecución para que el ransomware se ejecute correctamente. La ofuscación adicional impide que los investigadores de seguridad analicen el malware». HardBit, que surgió por primera vez en octubre de 2022, es un actor de amenazas con motivaciones económicas que, al igual que otros grupos de ransomware, opera con el objetivo de generar ingresos ilícitos a través de tácticas de doble extorsión. Lo que hace que el grupo de amenazas se destaque es que no opera un sitio de filtración de datos, sino que presiona a las víctimas para que paguen amenazando con realizar ataques adicionales en el futuro. Su modo principal de comunicación se produce a través del servicio de mensajería instantánea Tox. El vector de acceso inicial exacto utilizado para vulnerar los entornos objetivo no está claro actualmente, aunque se sospecha que implica la fuerza bruta de los servicios RDP y SMB. Los pasos posteriores incluyen el robo de credenciales mediante herramientas como Mimikatz y NLBrute, y el descubrimiento de la red a través de utilidades como Advanced Port Scanner, lo que permite a los atacantes moverse lateralmente por la red mediante RDP. «Después de haber comprometido un host víctima, se ejecuta la carga útil del ransomware HardBit y realiza una serie de pasos que reducen la postura de seguridad del host antes de cifrar los datos de la víctima», señaló Varonis en su informe técnico sobre HardBit 2.0 el año pasado. El cifrado de los hosts de la víctima se lleva a cabo mediante la implementación de HardBit, que se distribuye mediante un conocido virus infectador de archivos llamado Neshta. Vale la pena señalar que los actores de amenazas han utilizado Neshta en el pasado también para distribuir el ransomware Big Head. HardBit también está diseñado para desactivar Microsoft Defender Antivirus y terminar procesos y servicios para evadir la posible detección de sus actividades e inhibir la recuperación del sistema. Luego encripta archivos de interés, actualiza sus íconos, cambia el fondo de pantalla del escritorio y altera la etiqueta del volumen del sistema con la cadena «Locked by HardBit». Además de ofrecerse a los operadores en forma de línea de comandos o versiones GUI, el ransomware requiere una identificación de autorización para que se ejecute correctamente. La versión GUI también admite un modo de borrado para borrar archivos de forma irrevocable y limpiar el disco. «Una vez que los actores de amenazas ingresan correctamente la identificación de autorización decodificada, HardBit solicita una clave de cifrado para cifrar los archivos en las máquinas de destino y continúa con el procedimiento de ransomware», señaló Cybereason. «La función de modo de borrado debe ser habilitada por el grupo HardBit Ransomware y es probable que la función sea una función adicional que los operadores deben comprar. Si los operadores necesitan el modo de borrado, el operador deberá implementar hard.txt, un archivo de configuración opcional del binario HardBit y que contiene la identificación de autorización para habilitar el modo de borrado». El desarrollo se produce cuando la empresa de ciberseguridad Trellix detalló un ataque de ransomware CACTUS que se ha observado que explota fallas de seguridad en Ivanti Sentry (CVE-2023-38035) para instalar el malware de cifrado de archivos utilizando herramientas legítimas de escritorio remoto como AnyDesk y Splashtop. La actividad de ransomware continúa «manteniendo una tendencia ascendente» en 2024, con actores de ransomware que afirman haber realizado 962 ataques en el primer trimestre de 2024, frente a los 886 ataques reportados año tras año. LockBit, Akira y BlackSuit han surgido como las familias de ransomware más prevalentes durante el período de tiempo, dijo Symantec. Según el informe de respuesta a incidentes de la Unidad 42 de 2024 de Palo Alto Networks, el tiempo medio que se tarda en pasar del compromiso a la exfiltración de datos se desplomó de nueve días en 2021 a dos días el año pasado. En casi la mitad (45%) de los casos este año, fue de poco menos de 24 horas. «La evidencia disponible sugiere que la explotación de vulnerabilidades conocidas en aplicaciones públicas sigue siendo el principal vector de los ataques de ransomware», afirmó la empresa propiedad de Broadcom. «Bring Your Own Vulnerable Driver (BYOVD) sigue siendo una táctica favorita entre los grupos de ransomware, en particular como medio para desactivar soluciones de seguridad». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.