Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Эксперты «РТК-Солар» выпустили дешифратор для шифровальщика HardBit

08/09/23

Ростелекомсол-3

Киберпреступная группировка HardBit, ранее атаковавшая страны Запада с помощью одноименной программы-шифровальщика, была замечена за попыткой вымогательства у российской организации. Эксперты центра расследования киберинцидентов Solar JSOC CERT компании «РТК-Солар» провели анализ образцов всех версий HardBit и нашли способ расшифровать файлы. Подробности исследования и ссылка на декриптор опубликованы в отчете на сайте компании.

Киберпреступная группировка HardBit известна с октября 2022 года, она шифрует данные компаний и связывается с жертвой по электронной почте и мессенджеру Tox, требуя выкуп в биткоинах за расшифровку. Ранее об атаках группировки писали только зарубежные компании, однако в Solar JSOC CERT обратился российский заказчик, атакованный шифровальщиком HardBit 3.0. Злоумышленники запросили $25 тысяч за 15 атакованных хостов.

Эксперты Solar JSOC CERT проанализировали образец исполняемого файла, полученный от заказчика, а также другие образцы различных версий HardBit. В HardBit 1.0. применялся асимметричный алгоритм шифрования — в этом случае данные нельзя расшифровать без ключа злоумышленников. В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования. Это позволило экспертам Solar JSOC CERT расшифровать данные.

Можно предположить, что злоумышленники тратят мало времени на выпуск новых версий. Между первой и второй версиями HardBit прошло меньше месяца. Между второй и третьей версией программы прошло три месяца.

«HardBit может исправить уязвимости в своем алгоритме шифрования и новую версию HardBit 4.0, в появлении которой мы уверены, уже будет невозможно расшифровать без приватных ключей злоумышленников. Предсказать дату ее релиза нельзя, но, скорее всего, к концу года можно ожидать новые образцы на VirusTotal. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию», — поясняет Антон Каргин, инженер технического расследования Solar JSOC CERT компании «РТК-Солар».

Несколько интересных фактов. В коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr» — это может быть намеком на месторасположение разработчиков шифровальщика или ложным флагом, чтобы сбить с толку исследователей. Также удалось найти образцы, предшествующие HardBit, что подтверждает факт разработки шифровальщиков ещё до официального создания группировки. Кроме того, исследователи обнаружили образец с графическим интерфейсом и функционалом вайпера (вредоноса для уничтожения данных на компьютере жертвы), что расширяет арсенал группировки.

С полной версией отчета можно ознакомиться по ссылке.

Темы:КиберзащитаПресс-релизОтрасльшифровальщикиРостелеком-Солар
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...