Hardbit adlı bir fidye yazılımı tehdidi, 2.0 sürümüne taşındı ve operatörleri, kurbanın sigorta şirketi tarafından karşılanacak bir fidye ödemesini müzakere etmeye çalışıyor.
Özellikle, tehdit oyuncusu, kurbanı, sigorta şirketinin tüm maliyetleri karşılayacak şekilde taleplerini ayarlayabilmeleri için tüm sigorta ayrıntılarını açıklamanın çıkarları içinde olduğuna ikna etmeye çalışır.
Hardbit'in ilk versiyonu Ekim 2022'de gözlendi, Sürüm 2.0 Kasım 2022'de tanıtıldı ve bir veri güvenliği ve analitik şirketi olan Varonis'in bir raporuna göre hala dolaşımdaki varyant.
Çoğu fidye yazılımı işleminden farklı olarak, Hardbit bir veri sızıntısı sitesine sahip değildir, ancak operatörleri kurban verilerini çaldığını iddia eder ve fidye ödenmedikçe sızıntı yapmakla tehdit eder.
Bir fidye yazılımı gerginliği olarak, Hardbit 2.0, Windows Defender'ın gerçek zamanlı davranışsal izleme, işlem taraması ve erişim üzerindeki dosya korumalarını devre dışı bırakmak için kayıt defterini değiştirmek gibi mağdurun güvenliğini azaltmak için bazı özelliklere sahiptir.
Kötü amaçlı yazılım ayrıca, hassas dosyaları şifreleme için kullanılabilir hale getirmek için 86 fesih işlemini hedefler. Kendini "başlangıç" klasörüne ekleyerek kalıcılık oluşturur ve veri kurtarmayı daha zor hale getirmek için Gölge Kopyalarını siler.
Şifreleme aşaması ile ilgili ilginç bir unsur, kopyaları dosyalamak ve birçok suş gibi orijinalleri silmek yerine şifreli veri yazmak yerine, Hardbit 2.0 dosyaları açar ve içeriğinin şifreli verilerle üzerine yazmasıdır.
Bu yaklaşım, uzmanların orijinal dosyaları kurtarmasını zorlaştırır ve şifrelemeyi biraz daha hızlı hale getirir.
Diğer fidye yazılımı suşları gibi, Hardbit 2.0'ın kurbanın sistemine düştüğü not, bilgisayar korsanlarının şifre çözme anahtarı karşılığında istediği miktarı bilgilendirmez. Mağdurlar, açık kaynaklı şifreli bir eşler arası iletişim mesajlaşma uygulaması üzerinden saldırganla iletişim kurmak için 48 saat alır.
Tehdit oyuncusu, kurbanlara aracılarla çalışmamalarını tavsiye eder, çünkü bu sadece toplam maliyeti artıracaktır, ancak doğrudan müzakereler için onlarla iletişime geçecektir.
Siber saldırılar için sigortası olan şirketler için, bilgisayar korsanları daha ayrıntılı bir dizi talimatlara sahiptir ve başarılı diyalog için sigorta tutarını açıklamaya teşvik eder.
Dahası, bilgisayar korsanları sigorta detaylarını paylaşmayı kurban için faydalı gibi gösteriyor, sigorta şirketini verilerini kurtarma yolunda duran kötü adam olarak boyuyor.
Tehdit aktörleri, sigorta şirketlerinin müvekkillerinin çıkarlarını göz önünde bulundurarak fidye yazılımı aktörleriyle asla müzakere etmediklerini söylüyor, bu nedenle sadece müzakereleri rayından çıkarma ve ödeme yapmayı reddetme taleplerine gülünç karşı off'lar yaptıklarını söylüyor.
"Tüm bunları önlemek ve sigorta parayı almak için, sigorta kapsamının mevcudiyeti ve şartları hakkında bizi anonim olarak bilgilendirdiğinizden emin olun, hem siz hem de bize fayda sağlar, ancak sigorta şirketine fayda sağlamaz." Diyor operatörler kurbanlara bir not.
Saldırganlar, tam sigorta tutarını biliyorlarsa, sigorta şirketinin talebi karşılamaya zorlandığı için ne kadar soracaklarını tam olarak bileceklerini söylüyorlar.
Tabii ki, mağdurlar ayrıca saldırganlara sigorta detaylarını ifşa etmemek için sözleşmeli olarak sınırlıdır ve bunu yapmak, sigorta şirketinin zararları karşılama şansını kaybetme riskiyle karşı karşıyadır. Bu yüzden bilgisayar korsanları bu ayrıntıların özel olarak paylaşılması konusunda ısrar ediyorlar.
Tekliflerinden bağımsız olarak, fidye yazılımı operatörlerinin hedefi ödeme almaktır ve parayı almak için bir şey söyleyeceklerdir. Gerçek şu ki, güvenilemezler.
Fidye ödemeyi reddetmek ve olayı tutarlı bir yedekleme stratejisine sahip olmanın yanı sıra kolluk kuvvetlerine bildirmek, bu tür bir tehditle savaşmanın ve sona erdirmenin tek yoludur.
Varonis'in raporu, Hardbit 2.0'ın ilk aşamadan başlayarak ve güvenlik özelliklerinin kalıcılık kazanmasına ve şifreleme rutini dağıtmaya nasıl devre dışı bırakıldığı konusunda teknik ayrıntılar sunuyor. Araştırmacılar ayrıca tehdidi tanımlamaya yardımcı olan uzlaşma göstergelerini (IOC'ler) paylaştılar.
Yeni Nevada Fidye Yazılımı Windows ve VMware ESXI Sistemlerini Hedefliyor
Fidye yazılımı saldırılarının küresel etkisine genel bir bakış
Arnold Clark Müşteri Verileri, Play Ransomware tarafından talep edilen saldırıda çalındı
Oakland Şehri Fidye Yazılımı Saldırısı'ndan sonra acil durum ilan etti
Ransomware Gang, kurbanların müşterilerini fidye ödemesi talep etmeye teşvik ediyor
Kaynak: Bleeping Computer