サイバーセキュリティ研究者は、HardBit Ransomwareの新バージョン4.0が新たな難読化技術を採用し、解析を困難にしていることを明らかにした。このバージョンでは、ランサムウェアが正しく実行されるためには、実行時にパスフレーズの提供が必要である。HardBitは2022年10月に初めて登場し、二重の恐喝戦術を用いて不正な収益を生み出すことを目的とする金銭目的の脅威アクターである。このグループはデータ漏洩サイトを運営せず、将来的な攻撃を行うと脅して被害者に支払いを強要する。主な通信手段はToxインスタントメッセージングサービスを使用している。攻撃者はRDPとSMBサービスのブルートフォースを含む初期アクセスベクトルを使用し、MimikatzやNLBruteなどのツールを使用して資格情報の盗難を行い、ネットワーク内を横断する。

HardBitは、ファイル暗号化ウイルスであるNeshtaを介して配布され、Microsoft Defender Antivirusを無効にし、プロセスとサービスを終了させることで検出を回避し、システムの回復を妨げる。さらに、ファイルを暗号化し、アイコンを更新し、デスクトップ壁紙を変更し、システムのボリュームラベルを「Locked by HardBit」という文字列に変更する。コマンドラインまたはGUIバージョンで提供され、正常に実行するためには認証IDが必要である。GUIバージョンでは、ファイルを永久に消去し、ディスクをワイプするワイパーモードもサポートしている。

Trellixは、CACTUSランサムウェア攻撃がIvanti Sentryのセキュリティ脆弱性（CVE-2023-38035）を悪用し、AnyDeskやSplashtopなどの合法的なリモートデスクトップツールを使用してファイル暗号化マルウェアをインストールしていることを詳述した。2024年第1四半期には、ランサムウェアアクターによって報告された攻撃が962件に上り、前年比で増加している。LockBit、Akira、BlackSuitが最も普及しているランサムウェアファミリーとして浮上している。

【ニュース解説】

サイバーセキュリティの研究者たちは、新たなランサムウェア「HardBit 4.0」についての詳細を明らかにしました。このバージョンは、従来のものと比べて、解析を困難にする新しい難読化技術を採用しています。特に、ランサムウェアが正しく実行されるためには、実行時にパスフレーズを入力する必要があるという点が挙げられます。これにより、セキュリティ研究者がマルウェアの分析を行う際の障壁が高まっています。

HardBitランサムウェアは、2022年10月に初めて確認された金銭目的の脅威アクターによって運用されています。このグループは、被害者に二重の恐喝を行い、不正な収益を生み出すことを目的としています。特徴的な点として、データ漏洩サイトを運営せず、将来的な攻撃を行うと脅して被害者に支払いを強要する手法を取っています。

攻撃の手口としては、RDPやSMBサービスのブルートフォース攻撃を初期アクセスベクトルとして使用し、その後、MimikatzやNLBruteなどのツールを使用して資格情報の盗難、ネットワーク内での横断を行います。HardBitは、ファイル暗号化ウイルス「Neshta」を介して配布され、Microsoft Defender Antivirusを無効にし、プロセスとサービスを終了させることで検出を回避します。さらに、ファイルを暗号化し、アイコンを更新し、デスクトップ壁紙を変更するなどの行動を取ります。

このランサムウェアは、コマンドラインまたはGUIバージョンで提供され、実行には認証IDが必要です。GUIバージョンでは、ファイルを永久に消去し、ディスクをワイプするワイパーモードもサポートされています。このワイパーモードは、追加の機能として購入が必要であり、特定の設定ファイルを通じて有効化されます。

このような新しい技術や戦術の採用は、ランサムウェア攻撃の検出と分析をより困難にし、セキュリティ対策の複雑化を促しています。ランサムウェア攻撃は依然として増加傾向にあり、セキュリティ研究者や企業は、これらの脅威に対抗するために常に警戒を怠らず、最新のセキュリティ対策を講じる必要があります。また、既知の脆弱性を悪用する攻撃が主流であることから、ソフトウェアの更新とパッチ適用の重要性が改めて強調されています。

from New HardBit Ransomware 4.0 Uses Passphrase Protection to Evade Detection.