Ancaman ransomware yang disebut HardBit telah pindah ke versi 2.0 dan operatornya mencoba menegosiasikan pembayaran uang tebusan yang akan ditanggung oleh perusahaan asuransi korban.
Secara khusus, pelaku ancaman mencoba meyakinkan korban bahwa mereka berkepentingan untuk mengungkapkan semua rincian asuransi sehingga mereka dapat menyesuaikan tuntutan mereka sehingga perusahaan asuransi akan menanggung semua biaya.
Munculnya HardBit 2.0
Versi pertama HardBit diamati pada Oktober 2022, sedangkan versi 2.0 diperkenalkan pada November 2022 dan itu masih merupakan varian yang beredar saat ini, menurut a laporan dari Varonissebuah perusahaan analisis dan keamanan data.
Tidak seperti kebanyakan operasi ransomware, HardBit tidak menampilkan situs kebocoran data, meskipun operatornya mengklaim mencuri data korban dan mengancam akan membocorkannya kecuali uang tebusan dibayarkan.
Sebagai strain ransomware, HardBit 2.0 menampilkan beberapa kemampuan untuk menurunkan keamanan korban, seperti memodifikasi Registri untuk menonaktifkan pemantauan perilaku real-time Windows Defender, pemindaian proses, dan perlindungan file saat akses.
Malware juga menargetkan 86 proses untuk dihentikan, agar file sensitif tersedia untuk enkripsi. Itu membangun kegigihan dengan menambahkan dirinya sendiri ke folder “Startup”, dan menghapus salinan Volume Shadow untuk mempersulit pemulihan data.
Elemen menarik mengenai fase enkripsi adalah bahwa alih-alih menulis data terenkripsi ke salinan file dan menghapus aslinya seperti yang dilakukan banyak strain, HardBit 2.0 membuka file dan menimpa kontennya dengan data terenkripsi.
Pendekatan ini mempersulit para ahli untuk memulihkan file asli dan membuat enkripsi sedikit lebih cepat.
Negosiasi tebusan
Seperti jenis ransomware lainnya, catatan yang dijatuhkan HardBit 2.0 pada sistem korban tidak menginformasikan jumlah yang diinginkan peretas sebagai ganti kunci dekripsi. Korban mendapatkan waktu 48 jam untuk menghubungi penyerang melalui aplikasi perpesanan komunikasi peer-to-peer terenkripsi open-source.
Pelaku ancaman menyarankan para korban untuk tidak bekerja dengan perantara, karena ini hanya akan menaikkan total biaya, tetapi menghubungi mereka secara langsung untuk negosiasi.
Untuk perusahaan yang memiliki asuransi untuk serangan siber, para peretas memiliki serangkaian instruksi yang lebih rumit dan mendesak mereka untuk mengungkapkan jumlah asuransi agar dialog berhasil.
Terlebih lagi, para peretas membuatnya seolah-olah membagikan detail asuransi bermanfaat bagi korban, menggambarkan perusahaan asuransi sebagai orang jahat yang menghalangi pemulihan data mereka.
Pelaku ancaman mengatakan bahwa perusahaan asuransi tidak pernah bernegosiasi dengan pelaku ransomware dengan mempertimbangkan kepentingan klien mereka, sehingga mereka membuat penawaran balasan yang menggelikan atas tuntutan mereka hanya untuk menggagalkan negosiasi dan menolak untuk membayar.
“Untuk menghindari semua ini dan mendapatkan uang dari asuransi, pastikan untuk memberi tahu kami secara anonim tentang ketersediaan dan ketentuan pertanggungan asuransi, ini menguntungkan Anda dan kami, tetapi tidak menguntungkan perusahaan asuransi,” kata operator HardBit di catatan untuk korban.
Penyerang mengatakan bahwa jika mereka mengetahui jumlah asuransi yang tepat, mereka akan tahu persis berapa banyak yang harus diminta sehingga perusahaan asuransi terpaksa menutupi permintaan tersebut.
Tentu saja, korban juga biasanya secara kontrak dibatasi untuk tidak mengungkapkan rincian asuransi kepada penyerang, dan hal itu berisiko kehilangan kesempatan bagi perusahaan asuransi untuk menanggung kerugian. Inilah sebabnya mengapa para peretas bersikeras agar detail ini dibagikan secara pribadi.
Terlepas dari tawaran mereka, tujuan operator ransomware adalah untuk mendapatkan bayaran dan mereka akan mengatakan apapun untuk mendapatkan uang. Kenyataannya adalah bahwa mereka tidak dapat dipercaya.
Menolak untuk membayar uang tebusan dan melaporkan kejadian tersebut ke penegak hukum bersamaan dengan memiliki strategi cadangan yang konsisten adalah satu-satunya cara untuk melawan jenis ancaman ini dan mengakhirinya.
Itu laporan dari Varonis memberikan detail teknis tentang cara kerja HardBit 2.0 mulai dari tahap awal dan menonaktifkan fitur keamanan hingga mendapatkan persistensi dan menerapkan rutin enkripsi. Para peneliti juga membagikan indikator kompromi (IoC) yang membantu mengidentifikasi ancaman.
