Tech iCrewPlay.comTech iCrewPlay.com
  • Scienza
  • Spazio
  • Natura
    • Cambiamenti climatici
  • Curiosità
  • Salute
  • Recensione
  • Tecnologia
    • App e software
    • Prodotti Audio
    • Domotica e IoT
    • Elettrodomestici
    • Guide
    • Hardware e periferiche
    • Notebook e PC
    • Smartphone e tablet
    • Visione Digitale
    • Wearable
    • Cronologia
    • Seguiti
    • Segui
Cerca
  • Videogiochi
  • Libri
  • Cinema
  • Anime
  • Arte
Copyright © Alpha Unity. Tutti i diritti riservati.​
Lettura: HardBit: la versione 4.0 del malware elude il rilevamento
Share
Notifica
Ridimensionamento dei caratteriAa
Tech iCrewPlay.comTech iCrewPlay.com
Ridimensionamento dei caratteriAa
  • Videogiochi
  • Libri
  • Cinema
  • Anime
  • Arte
Cerca
  • Scienza
  • Spazio
  • Natura
    • Cambiamenti climatici
  • Curiosità
  • Salute
  • Recensione
  • Tecnologia
    • App e software
    • Prodotti Audio
    • Domotica e IoT
    • Elettrodomestici
    • Guide
    • Hardware e periferiche
    • Notebook e PC
    • Smartphone e tablet
    • Visione Digitale
    • Wearable
    • Cronologia
    • Seguiti
    • Segui
Seguici
  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer
Copyright © Alpha Unity. Tutti i diritti riservati.​
App e softwareTecnologia

HardBit: la versione 4.0 del malware elude il rilevamento

Un noto malware noto come HardBit ha fatto ritorno nella versione 4.0 e può addirittura aggirare Microsoft Windows Defender

Andrea Tasinato 12 mesi fa Commenta! 6
SHARE

I ricercatori di sicurezza informatica hanno fatto luce su una nuova versione di un ceppo di ransomware chiamato HardBit, che viene distribuito con nuove tecniche di offuscamento per scoraggiare gli sforzi di analisi.

Contenuti di questo articolo
HardBit: in cosa differisce la versione 4.0 dalle precedenti?Qual è il vettore di infezione di HardBit?La disattivazione di Microsoft Windows Defender su sistemi operativi Microsoft Windows

HardBit: in cosa differisce la versione 4.0 dalle precedenti?

“A differenza delle versioni precedenti, il gruppo HardBit Ransomware ha migliorato la versione 4.0 con la protezione tramite passphrase“, hanno detto i ricercatori di sicurezza informatica Kotaro Ogino e Koshi Oyama in un’analisi. “La passphrase deve essere fornita durante il runtime affinché il ransomware possa essere eseguito correttamente. Ulteriore offuscamento ostacola i ricercatori della sicurezza nell’analisi del malware.”

HardBit, emerso per la prima volta nell’ottobre 2022, è stato creato da persone che sono motivate finanziariamente tant’è che, HardBit, similmente ad altri gruppi di ransomware, opera con l’obiettivo di generare entrate illecite tramite tattiche di doppia estorsione.

Leggi Altro

Due gravi vulnerabilità in Sudo consentono l’elevazione dei privilegi su Linux: aggiornare subito
Motorola Razr 60 Ultra: uno smartphone e due stili
Microsoft terminerà il supporto per le password nell’app Authenticator a partire dal 1 agosto 2025.
Prorelax Vacuum Massager Sensitive: micidiale contro la cellulite ed efficace per il lipedema

Ciò che distingue questo gruppo di criminali informatici è che non gestisce un sito di fuga di dati, ma invece mette pressione alle vittime affinché paghino minacciando di condurre ulteriori attacchi in futuro; il suo principale mezzo di comunicazione avviene tramite il servizio di messaggistica istantanea Tox.

Qual è il vettore di infezione di HardBit?

L’esatto vettore di accesso iniziale utilizzato per violare gli ambienti che prende di mira non è attualmente chiaro, sebbene si sospetti che coinvolga il brute-forcing di servizi RDP e SMB.

I passaggi successivi comprendono il furto di credenziali utilizzando strumenti come Mimikatz e NLBrute, e la scoperta della rete tramite utility come Advanced Port Scanner, permettendo agli attaccanti di muoversi lateralmente attraverso la rete tramite RDP.

Hardbit: la versione 4. 0 del malware elude il rilevamento

“Dopo aver compromesso un host vittima, il payload del ransomware HardBit viene eseguito e compie una serie di passaggi che riducono le capacità di sicurezza dell’host prima di criptare i dati della vittima“, ha detto Varonis nel suo rapporto tecnico su HardBit 2.0 l’anno scorso.

La crittografia degli host vittime viene eseguita distribuendo HardBit, che viene consegnato utilizzando un virus noto come Neshta; è importante notare che Neshta è stato utilizzato in passato dai criminali informatici anche per distribuire il ransomware Big Head.

La disattivazione di Microsoft Windows Defender su sistemi operativi Microsoft Windows

HardBit è anche progettato per disabilitare Microsoft Defender Antivirus e terminare processi e servizi per eludere la potenziale rilevazione delle sue attività e inibire il recupero del sistema; cripta quindi i file di interesse, aggiorna le loro icone, cambia lo sfondo del desktop e modifica l’etichetta del volume del sistema con la stringa “Locked by HardBit.”

Hardbit: la versione 4. 0 del malware elude il rilevamento
Come si è evoluto hardbit nelle diverse versioni

Oltre a essere offerto agli operatori in forma di versioni a riga di comando o GUI, il ransomware richiede un ID di autorizzazione affinché possa essere eseguito con successo; la versione GUI supporta inoltre una modalità wiper per cancellare irrevocabilmente i file e pulire il disco.

“Una volta che i criminali informatici inseriscono con successo l’ID di autorizzazione decodificato, HardBit richiede una chiave di crittografia per criptare i file sulle macchine target e procede con la procedura del ransomware“, ha osservato Cybereason, aggiungendo: “La funzione di modalità wiper deve essere abilitata dal gruppo HardBit Ransomware e la funzione è probabilmente un’opzione aggiuntiva che gli operatori devono acquistare. Se gli operatori necessitano della modalità wiper, dovrebbero distribuire hard.txt, un file di configurazione opzionale del binario di HardBit che contiene l’ID di autorizzazione per abilitare la modalità wiper.”

Lo sviluppo arriva mentre l’azienda di cybersecurity Trellix ha scritto un rapporto dettagliato un attacco ransomware chiamato CACTUS che è stato osservato sfruttare vulnerabilità di sicurezza in Ivanti Sentry (CVE-2023-38035) per installare il malware di crittografia dei file utilizzando strumenti legittimi di desktop remoto come AnyDesk e Splashtop.

Hardbit: la versione 4. 0 del malware elude il rilevamento
Young asian male frustrated, confused and headache by ransomware attack on desktop screen, notebook and smartphone, cyber attack and internet security concepts

L’attività di ransomware continua a “rimanere in una tendenza al rialzo” nel 2024, con gli autori di ransomware che rivendicano 962 attacchi nel primo trimestre del 2024, in aumento rispetto agli 886 attacchi segnalati anno su anno; LockBit, Akira e BlackSuit sono emersi come le famiglie di ransomware più prevalenti durante il periodo, ha detto Symantec.

Secondo il rapporto del 2024 Unit 42 Incident Response di Palo Alto Networks, il tempo medio per passare dal compromesso all’esfiltrazione dei dati è sceso da nove giorni nel 2021 a due giorni l’anno scorso. In quasi la metà (45%) dei casi quest’anno, era inferiore a 24 ore.

“Le prove disponibili suggeriscono che lo sfruttamento di vulnerabilità note in applicazioni rivolte al pubblico continua a essere il principale vettore per gli attacchi ransomware,” ha detto la compagnia di proprietà di Broadcom. “Portare il proprio driver vulnerabile (BYOVD) continua a essere una tattica favorita tra i gruppi di ransomware, particolarmente come mezzo per disabilitare le soluzioni di sicurezza.”

Condividi questo articolo
Facebook Twitter Copia il link
Share
Cosa ne pensi?
-0
-0
-0
-0
-0
-0
lascia un commento lascia un commento

Lascia un commento Annulla risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer

Copyright © Alpha Unity. Tutti i diritti riservati.​

  • Contatto
  • Media Kit
  • Chi siamo
  • Lavora con noi
  • Cookie Policy
  • Disclaimer
Bentornato in iCrewPlay!

Accedi al tuo account

Hai dimenticato la password?