Rambler's Top100
Реклама
 
Все новости Новости компаний

«РТК-Солар» выпустил дешифратор для шифровальщика HardBit

07 сентября 2023

Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации. Эксперты центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» провели анализ образцов всех версий HardBit и нашли способ расшифровать файлы. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию.

Киберпреступная группировка HardBit известна с октября 2022 года, она шифрует данные компаний и связывается с жертвой по электронной почте и мессенджеру Tox, требуя выкуп в биткоинах за расшифровку. Ранее об атаках группировки писали только зарубежные компании, однако в Solar JSOC CERT обратился российский заказчик, атакованный шифровальщиком HardBit 3.0. Злоумышленники запросили $25 тысяч за 15 атакованных хостов.

Эксперты Solar JSOC CERT проанализировали образец исполняемого файла, полученный от заказчика, а также другие образцы различных версий HardBit. В HardBit 1.0. применялся асимметричный алгоритм шифрования — в этом случае данные нельзя расшифровать без ключа злоумышленников. В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования. Это позволило экспертам Solar JSOC CERT расшифровать данные.

Можно предположить, что злоумышленники тратят мало времени на выпуск новых версий. Между первой и второй версиями HardBit прошло меньше месяца. Между второй и третьей версией программы прошло три месяца.

«HardBit может исправить уязвимости в своем алгоритме шифрования и новую версию HardBit 4.0, в появлении которой мы уверены, уже будет невозможно расшифровать без приватных ключей злоумышленников. Предсказать дату ее релиза нельзя, но, скорее всего, к концу года можно ожидать новые образцы на VirusTotal. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию», — поясняет Антон Каргин, инженер технического расследования Solar JSOC CERT компании «РТК-Солар».

Несколько интересных фактов. В коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr» — это может быть намеком на месторасположение разработчиков шифровальщика или ложным флагом, чтобы сбить с толку исследователей. Также удалось найти образцы, предшествующие HardBit, что подтверждает факт разработки шифровальщиков ещё до официального создания группировки. Кроме того, исследователи обнаружили образец с графическим интерфейсом и функционалом вайпера (вредоноса для уничтожения данных на компьютере жертвы), что расширяет арсенал группировки.

Источник: СОЛАР

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.

Продолжение использования сайта пользователем интерпретируется как согласие на обработку фрагментов персональных данных (таких, как cookies) для целей корректной работы сайта.

Согласен