サイバーセキュリティの研究者たちは、解析を阻む新たな難読化技術を備えたランサムウェア「ハードビット」の新バージョンについて明らかにしました。

「以前のバージョンとは異なり、ハードビットランサムウェアグループはバージョン4.0にパスフレーズ保護を強化しました」とCybereasonの研究者である小野航太郎と小山幸史は分析で述べています。

「ランサムウェアを正しく実行するためには、実行中にパスフレーズを提供する必要があります。追加の難読化により、セキュリティ研究者がマルウェアを解析するのを妨げています。」

ハードビットは2022年10月に初めて登場した、金銭的動機を持つ脅威アクターであり、他のランサムウェアグループと同様に、二重脅迫戦術を通じて不正な収益を上げることを目的としています。

この脅威グループの際立った特徴は、データ漏洩サイトを運営せず、将来的に追加攻撃を行うと脅して被害者に支払いを強制する点です。主要なコミュニケーション手段は、Toxインスタントメッセージングサービスを通じて行われます。

標的環境に侵入するために使用される初期アクセスベクターは現在のところ不明ですが、RDPおよびSMBサービスのブルートフォース攻撃が関与していると疑われています。

「被害者ホストを侵害した後、ハードビットランサムウェアのペイロードが実行され、被害者のデータを暗号化する前にホストのセキュリティ姿勢を低下させる一連のステップを実行します」とVaronisは昨年の技術報告書で述べています。

被害者ホストの暗号化は、Neshtaと呼ばれる既知のファイル感染ウイルスを使用して配信されるハードビットによって行われます。過去には、このNeshtaがビッグヘッドランサムウェアの配布にも使用されていたことが確認されています。

ハードビットは、Microsoft Defender Antivirusを無効にし、その活動を検出する可能性のあるプロセスやサービスを終了させ、システムの復旧を阻害するようにも設計されています。その後、関心のあるファイルを暗号化し、アイコンを更新し、デスクトップの壁紙を変更し、システムのボリュームラベルを「Locked by HardBit」に変更します。

ハードビットランサムウェア
コマンドラインまたはGUIバージョンの形式でオペレーターに提供されるだけでなく、ランサムウェアを正常に実行するには承認IDが必要です。GUIバージョンはさらにファイルを元に戻せないように削除し、ディスクをワイプする「ワイパーモード」をサポートします。

「脅威アクターがデコードされた承認IDを正しく入力すると、ハードビットはターゲットマシンのファイルを暗号化するための暗号化キーを要求し、その後ランサムウェアの手順に従って進行します」とCybereasonは述べています。

「ワイパーモード機能はハードビットランサムウェアグループによって有効にされる必要があり、この機能はオペレーターが追加で購入する必要がある可能性があります。オペレーターがワイパーモードを必要とする場合、ハードビットバイナリのオプション設定ファイルであるhard.txtをデプロイし、ワイパーモードを有効にするための承認IDを含める必要があります。」

この発展は、サイバーセキュリティ企業Trellixが、Ivanti Sentryのセキュリティ欠陥（CVE-2023-38035）を悪用して、AnyDeskやSplashtopなどの正当なリモートデスクトップツールを使用してファイル暗号化マルウェアをインストールするCACTUSランサムウェア攻撃を詳述した中で明らかになりました。

ランサムウェアの活動は2024年も「上昇傾向にある」とされ、2024年第1四半期にはランサムウェアアクターが962件の攻撃を主張し、前年の886件から増加しています。Symantecによると、LockBit、Akira、およびBlackSuitがこの期間中に最も普及しているランサムウェアファミリーとして浮上しました。

Palo Alto Networksの2024年Unit 42インシデントレスポンス報告書によると、侵害からデータ流出までの中央値の時間は2021年の9日から昨年の2日に短縮されました。今年のケースのほぼ半数（45％）では、わずか24時間未満でした。

「利用可能な証拠は、公に公開されているアプリケーションの既知の脆弱性の悪用がランサムウェア攻撃の主なベクターであり続けていることを示唆しています」とBroadcom所有の会社は述べています。「独自の脆弱なドライバー（BYOVD）を持ち込むことは、特にセキュリティソリューションを無効にする手段として、ランサムウェアグループの間で依然として好まれた戦術です。」