Rambler's Top100
Реклама
 
Все новости Новости компаний

«РТК-Солар» выпустил дешифратор для шифровальщика HardBit

07 сентября 2023

Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации. Эксперты центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» провели анализ образцов всех версий HardBit и нашли способ расшифровать файлы. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию.

Киберпреступная группировка HardBit известна с октября 2022 года, она шифрует данные компаний и связывается с жертвой по электронной почте и мессенджеру Tox, требуя выкуп в биткоинах за расшифровку. Ранее об атаках группировки писали только зарубежные компании, однако в Solar JSOC CERT обратился российский заказчик, атакованный шифровальщиком HardBit 3.0. Злоумышленники запросили $25 тысяч за 15 атакованных хостов.

Эксперты Solar JSOC CERT проанализировали образец исполняемого файла, полученный от заказчика, а также другие образцы различных версий HardBit. В HardBit 1.0. применялся асимметричный алгоритм шифрования — в этом случае данные нельзя расшифровать без ключа злоумышленников. В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования. Это позволило экспертам Solar JSOC CERT расшифровать данные.

Можно предположить, что злоумышленники тратят мало времени на выпуск новых версий. Между первой и второй версиями HardBit прошло меньше месяца. Между второй и третьей версией программы прошло три месяца.

«HardBit может исправить уязвимости в своем алгоритме шифрования и новую версию HardBit 4.0, в появлении которой мы уверены, уже будет невозможно расшифровать без приватных ключей злоумышленников. Предсказать дату ее релиза нельзя, но, скорее всего, к концу года можно ожидать новые образцы на VirusTotal. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию», — поясняет Антон Каргин, инженер технического расследования Solar JSOC CERT компании «РТК-Солар».

Несколько интересных фактов. В коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr» — это может быть намеком на месторасположение разработчиков шифровальщика или ложным флагом, чтобы сбить с толку исследователей. Также удалось найти образцы, предшествующие HardBit, что подтверждает факт разработки шифровальщиков ещё до официального создания группировки. Кроме того, исследователи обнаружили образец с графическим интерфейсом и функционалом вайпера (вредоноса для уничтожения данных на компьютере жертвы), что расширяет арсенал группировки.

Источник: СОЛАР

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Читайте также:

Каждая пятая атака происходит с использованием утекших данных пользователей

Вымогатели шантажируют жертв раскрытием данных

Группа вымогателей Cuba атакует с помощью новых вредоносных программ

Главными жертвами шифровальщиков в Азиатском регионе в 2022–2023 годах стали промышленные компании

Российские компании подвергаются атакам рассылками с шифровальщиком PyCrypter

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.