Duy Linh
Writer
Phần mềm tống tiền HardBit tiếp tục được các tác nhân đe dọa nâng cấp với việc phát hành phiên bản 4.0, cho thấy xu hướng ngày càng tinh vi trong cách thiết lập khả năng duy trì hoạt động lâu dài bên trong hệ thống nạn nhân. Biến thể mới tập trung khai thác các dịch vụ mạng dễ bị tổn thương, đặc biệt là Giao thức Máy tính Từ xa (RDP) và Khối tin nhắn Máy chủ (SMB) đang mở, nhằm duy trì quyền truy cập bền vững vào các mạng đã bị xâm nhập.
Phần mềm tống tiền HardBit 4.0 lợi dụng các giao thức RDP và SMB không được bảo mật để duy trì quyền truy cập.
HardBit 4.0 không chỉ mở rộng bề mặt tấn công mà còn tích hợp các kỹ thuật né tránh nâng cao, khiến quá trình phân tích, phát hiện và ứng phó sự cố trở nên phức tạp hơn đối với các đội ngũ an ninh.
Điểm khác biệt đáng chú ý so với các phiên bản trước là việc HardBit 4.0 sử dụng trình lây nhiễm tập tin Neshta làm cơ chế phát tán chính, thay cho các phương thức phân phối truyền thống. Neshta – một dòng mã độc đã xuất hiện từ năm 2003 đóng vai trò là vectơ lây nhiễm ban đầu, thực hiện giải mã và trích xuất tải trọng HardBit trực tiếp từ tệp nhị phân của chính nó trước khi thực thi.
Sau khi xâm nhập thành công, mã độc thiết lập khả năng tồn tại bằng cách tự sao chép vào thư mục hệ thống Windows và chỉnh sửa các khóa registry, bảo đảm tự động khởi chạy mỗi khi các tệp thực thi được mở. Cơ chế này giúp HardBit duy trì sự hiện diện liên tục ngay cả khi hệ thống bị khởi động lại.
Thông tin xác thực bị đánh cắp cho phép kẻ tấn công di chuyển ngang trong mạng, tận dụng các giao thức truy cập từ xa hợp pháp để mở rộng phạm vi hoạt động mà không kích hoạt các biện pháp phòng thủ truyền thống.
Giai đoạn trinh sát mạng tiếp theo được thực hiện bằng KPortScan 3.0, dùng để xác định thêm các điểm cuối RDP hoạt động trên cổng 3389, kết hợp với Advanced Port Scanner nhằm liệt kê mạng ở quy mô rộng hơn. Công cụ 5-NS new.exe tiếp tục được sử dụng để xác định các thư mục chia sẻ mạng khả dụng, từ đó xây dựng bản đồ toàn diện về các mục tiêu tiềm năng cho quá trình di chuyển ngang.
Một đặc điểm kỹ thuật nổi bật của HardBit 4.0 là yêu cầu xác thực trong quá trình thực thi. Phần mềm tống tiền này chỉ hoạt động khi được cung cấp ID đã mã hóa và khóa mã hóa tương ứng, gây khó khăn đáng kể cho việc phân tích trong môi trường sandbox cũng như các hệ thống phát hiện tự động. Cơ chế bảo vệ bằng mật khẩu này buộc người vận hành phải triển khai thủ công với thông tin xác thực hợp lệ, từ đó giảm nguy cơ lộ mẫu trong quá trình phân tích.
Song song đó, HardBit 4.0 vô hiệu hóa Windows Defender một cách có hệ thống thông qua chỉnh sửa registry và thực thi các lệnh PowerShell, nhắm trực tiếp vào các tính năng như Bảo vệ chống giả mạo, Giám sát thời gian thực và Chống phần mềm gián điệp. Bản nhị phân của mã độc được mã hóa bằng Ryan-_-Borland_Protector Cracked v1.0, một biến thể chỉnh sửa của ConfuserEx, nhằm né tránh phân tích tĩnh.
Các tệp bị mã hóa được đánh dấu bằng biểu tượng tùy chỉnh, đồng thời hình nền máy tính bị thay thế bằng thông báo đòi tiền chuộc. Đáng chú ý, phiên bản GUI của HardBit 4.0 còn tích hợp chế độ “Wiper”, có thể được kích hoạt thông qua tệp cấu hình. Khi chế độ này được bật, mã độc sẽ phá hủy dữ liệu vĩnh viễn thay vì mã hóa, biến HardBit từ một công cụ tống tiền thành một vũ khí hủy dữ liệu, có thể được cung cấp như một tùy chọn nâng cấp cho các nhóm vận hành.
Dưới đây là các mã định danh mối đe dọa liên quan đến HardBit đã được ghi nhận:
Đọc chi tiết tại đây: https://gbhackers.com/hardbit-4-0-ransomware/
Phần mềm tống tiền HardBit 4.0 lợi dụng các giao thức RDP và SMB không được bảo mật để duy trì quyền truy cập.
HardBit 4.0 không chỉ mở rộng bề mặt tấn công mà còn tích hợp các kỹ thuật né tránh nâng cao, khiến quá trình phân tích, phát hiện và ứng phó sự cố trở nên phức tạp hơn đối với các đội ngũ an ninh.
Điểm khác biệt đáng chú ý so với các phiên bản trước là việc HardBit 4.0 sử dụng trình lây nhiễm tập tin Neshta làm cơ chế phát tán chính, thay cho các phương thức phân phối truyền thống. Neshta – một dòng mã độc đã xuất hiện từ năm 2003 đóng vai trò là vectơ lây nhiễm ban đầu, thực hiện giải mã và trích xuất tải trọng HardBit trực tiếp từ tệp nhị phân của chính nó trước khi thực thi.
Sau khi xâm nhập thành công, mã độc thiết lập khả năng tồn tại bằng cách tự sao chép vào thư mục hệ thống Windows và chỉnh sửa các khóa registry, bảo đảm tự động khởi chạy mỗi khi các tệp thực thi được mở. Cơ chế này giúp HardBit duy trì sự hiện diện liên tục ngay cả khi hệ thống bị khởi động lại.
Tiếp cận ban đầu và di chuyển ngang
Chuỗi tấn công của HardBit 4.0 thường bắt đầu bằng các cuộc tấn công vét cạn nhắm vào các dịch vụ RDP và SMB đang mở, sử dụng những công cụ như NLBrute. Khi giành được quyền truy cập ban đầu, các tác nhân đe dọa sẽ triển khai tập lệnh hàng loạt tùy chỉnh tích hợp Mimikatz nhằm thu thập thông tin đăng nhập từ các hệ thống đã bị xâm nhập.Thông tin xác thực bị đánh cắp cho phép kẻ tấn công di chuyển ngang trong mạng, tận dụng các giao thức truy cập từ xa hợp pháp để mở rộng phạm vi hoạt động mà không kích hoạt các biện pháp phòng thủ truyền thống.
Giai đoạn trinh sát mạng tiếp theo được thực hiện bằng KPortScan 3.0, dùng để xác định thêm các điểm cuối RDP hoạt động trên cổng 3389, kết hợp với Advanced Port Scanner nhằm liệt kê mạng ở quy mô rộng hơn. Công cụ 5-NS new.exe tiếp tục được sử dụng để xác định các thư mục chia sẻ mạng khả dụng, từ đó xây dựng bản đồ toàn diện về các mục tiêu tiềm năng cho quá trình di chuyển ngang.
Một đặc điểm kỹ thuật nổi bật của HardBit 4.0 là yêu cầu xác thực trong quá trình thực thi. Phần mềm tống tiền này chỉ hoạt động khi được cung cấp ID đã mã hóa và khóa mã hóa tương ứng, gây khó khăn đáng kể cho việc phân tích trong môi trường sandbox cũng như các hệ thống phát hiện tự động. Cơ chế bảo vệ bằng mật khẩu này buộc người vận hành phải triển khai thủ công với thông tin xác thực hợp lệ, từ đó giảm nguy cơ lộ mẫu trong quá trình phân tích.
Song song đó, HardBit 4.0 vô hiệu hóa Windows Defender một cách có hệ thống thông qua chỉnh sửa registry và thực thi các lệnh PowerShell, nhắm trực tiếp vào các tính năng như Bảo vệ chống giả mạo, Giám sát thời gian thực và Chống phần mềm gián điệp. Bản nhị phân của mã độc được mã hóa bằng Ryan-_-Borland_Protector Cracked v1.0, một biến thể chỉnh sửa của ConfuserEx, nhằm né tránh phân tích tĩnh.
Mã hóa dữ liệu và cơ chế hủy hoại
Trước khi tiến hành mã hóa, HardBit 4.0 sẽ dừng hàng loạt dịch vụ quan trọng, bao gồm các phần mềm sao lưu và công cụ bảo mật, nhằm loại bỏ các rào cản có thể ảnh hưởng đến quá trình tống tiền. Các cơ chế khôi phục hệ thống sau đó bị vô hiệu hóa thông qua việc xóa bản sao bóng và tắt chính sách trạng thái khởi động Windows, khiến nạn nhân gần như không thể phục hồi dữ liệu nếu không trả tiền chuộc.Các tệp bị mã hóa được đánh dấu bằng biểu tượng tùy chỉnh, đồng thời hình nền máy tính bị thay thế bằng thông báo đòi tiền chuộc. Đáng chú ý, phiên bản GUI của HardBit 4.0 còn tích hợp chế độ “Wiper”, có thể được kích hoạt thông qua tệp cấu hình. Khi chế độ này được bật, mã độc sẽ phá hủy dữ liệu vĩnh viễn thay vì mã hóa, biến HardBit từ một công cụ tống tiền thành một vũ khí hủy dữ liệu, có thể được cung cấp như một tùy chọn nâng cấp cho các nhóm vận hành.
Dưới đây là các mã định danh mối đe dọa liên quan đến HardBit đã được ghi nhận:
- 83232 – Nguy cơ tải xuống phần mềm tống tiền HardBit 2.0 (xâm nhập mạng)
- 43877 – Mối đe dọa qua email tống tiền HardBit 2.0 (xâm nhập mạng)
- 36087 – Nguy cơ tải xuống phần mềm tống tiền HardBit 3.0 (xâm nhập mạng)
- 87265 – Mối đe dọa qua email tống tiền HardBit 3.0 (xâm nhập email)
- 40412 – Nguy cơ tải xuống phần mềm tống tiền HardBit 4.0 (xâm nhập mạng)
- 72598 – Mối đe dọa qua email tống tiền HardBit 4.0 (xâm nhập email)
Đọc chi tiết tại đây: https://gbhackers.com/hardbit-4-0-ransomware/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview