Бесплатно Экспресс-аудит сайта:

09.09.2023

Свет в конце туннеля: создан декриптор для HardBit 3.0

Хакерская группировка HardBit пыталась вымогать деньги у российской фирмы с использованием одноимённого шифровального программного обеспечения. До этого атаки группы были известны только за пределами России. Эксперты «РТК-Солар» провели детальное исследование различных версий шифровальщика HardBit и разработал консольный декриптор на .NET 4.8 для HardBit 3.0

С момента обнаружения в октябре 2022 года, группировка HardBit шифровала файлы компаний и требовала выкуп в биткоинах, связываясь с жертвами через электронную почту и мессенджер Tox. У группы нет официального сайта, и об их действиях нет данных в открытых источниках.

Анализ экспертов показал, что в HardBit 1.0 использовался асимметричный алгоритм шифрования, что делает расшифровку без приватного ключа невозможной. Однако, в версиях 2.0 и 3.0 хакеры использовали статические данные жертвы для генерации пароля, что делает расшифровку возможной.

Кроме того, начиная с версии HardBit 2.0 , были внесены различные изменения в алгоритм работы программы, включая механизм идентификации жертвы и структуру шифрования. Интересно, что код HardBit 2.0 содержал русскоязычные имена, что, возможно, является попыткой дезинформации. Ещё одной новинкой стал обнаруженный вариант HardBit с графическим интерфейсом и функцией удаления данных, что добавляет новые инструменты в арсенал группировки.

Ранее исследователи описали версию HardBit 2.0, которая была способна снижать безопасности в системе жертвы. Например, вредонос мог изменять реестр Windows для воздействия на встроенный Microsoft Defender, делая его работу неэффективной. Также HardBit 2.0 прописывался в автозагрузку Windows и удалял все заархивированные резервные копии, созданные системой, чтобы пользователь не смог восстановить свои данные.