I ricercatori di Varonis hanno individuato la versione 2.0 di HardBit, un ransomware che circola online da ottobre 2022. Le funzionalità di base sono quelle tradizionali, ovvero cifratura dei file e riscatto, ma con una piccola differenza. I cybercriminali chiedono alle vittime di fornire i dettagli dell’assicurazione per modificare la somma da pagare in base alle condizioni della polizza.
Riscatto basato sull’assicurazione
HardBit 2.0 si comporta come tutti i ransomware. Dopo aver ottenuto l’accesso al computer vengono rubati diversi dati e avviata la procedura di cifratura dei file. Tuttavia i cybercriminali non hanno un sito che ospita i dati, quindi non è prevista la classica doppia estorsione. Viene invece copiato sul computer un file di testo che invita la vittima ad usare Tox per avviare la negoziazione entro 48 ore.
Per le aziende che hanno un’assicurazione contro gli incidenti di sicurezza è prevista una novità. I cybercriminali chiedono alle vittime di inviare i dettagli sulla copertura assicurativa. In questo modo verrà chiesto un riscatto che rientra nelle condizioni della polizza.
Gli esperti di Varonis non hanno scoperto come HardBit riesce ad accedere alla rete interna, ma probabilmente sono state utilizzate le tradizionali TTP (tattiche, tecniche e procedure), come phishing, furto di credenziali o vulnerabilità software. Prima di avviare la cifratura dei file vengono raccolte diverse informazioni sui computer.
HardBit elimina quindi le copie di backup e disattiva Microsoft Defender. La persistenza viene ottenuta copiando l’eseguibile del ransomware nella directory Esecuzione automatica. Ovviamente non deve essere pagato nessun riscatto. La soluzione migliore è implementare una valida strategia di backup offline.