Le Ransomware HardBit Évolue : Une Nouvelle Version Encore Plus Dangereuse
Les chercheurs en cybersécurité ont récemment découvert une nouvelle version du ransomware HardBit qui est dotée de nouvelles techniques d’obfuscation pour compliquer les efforts d’analyse.
« Contrairement aux versions précédentes, le groupe derrière HardBit Ransomware a amélioré la version 4.0 avec une protection par mot de passe, » ont expliqué les chercheurs de Cybereason, Kotaro Ogino et Koshi Oyama. « Le mot de passe doit être fourni lors de l’exécution pour que le ransomware puisse fonctionner correctement. L’obfuscation supplémentaire empêche les chercheurs en sécurité d’analyser le malware. »
Apparu pour la première fois en octobre 2022, HardBit est un acteur menaçant motivé financièrement qui, à l’instar d’autres groupes de ransomware, cherche à générer des revenus illicites via des techniques de double extorsion.
Ce qui distingue ce groupe est son absence de site de fuite de données. À la place, il met la pression sur les victimes en menaçant de mener d’autres attaques à l’avenir. Le principal canal de communication utilisé est le service de messagerie instantanée Tox.
Des Attaques Sophistiquées et une Évasion Totale
Le vecteur d’accès initial exact utilisé pour compromettre les environnements cibles reste flou, bien qu’il soit soupçonné d’inclure des attaques en force brute sur les services RDP et SMB.
Une fois l’accès obtenu, les attaquants dérobent les identifiants de connexion en utilisant des outils comme Mimikatz et NLBrute. Ils explorent ensuite le réseau avec des utilitaires comme Advanced Port Scanner, leur permettant ainsi de se déplacer latéralement via RDP.
« Après avoir compromis une machine hôte, le payload de HardBit est exécuté, réalisant plusieurs actions pour réduire la sécurité de l’hôte avant de chiffrer les données de la victime, » note Varonis dans son rapport technique sur HardBit 2.0. Le chiffrement est réalisé en déployant HardBit, livré par un virus infecteur de fichiers connu sous le nom de Neshta.
HardBit est également conçu pour désactiver Microsoft Defender Antivirus et arrêter les processus et services, afin d’éviter la détection et de rendre difficile la récupération du système. Il chiffre ensuite les fichiers, modifie les icônes, change le fond d’écran et remplace le label du volume par la phrase « Locked by HardBit. »
Le ransomware est disponible en versions ligne de commande ou interface graphique (GUI), nécessitant une ID d’autorisation pour être exécuté. La version GUI supporte un mode « wiper » pour effacer irrévocablement les fichiers et nettoyer le disque.
« Une fois que les acteurs de la menace saisissent l’ID d’autorisation décodé, HardBit demande une clé de chiffrement pour chiffrer les fichiers sur les machines cibles, » expliquent les chercheurs de Cybereason. « La fonctionnalité de mode ‘wiper’ doit être activée par le groupe HardBit et est vraisemblablement une option vendue aux opérateurs. Si l’opérateur veut le mode ‘wiper’, il doit déployer ‘hard.txt’, un fichier de configuration optionnel contenant l’ID d’autorisation pour activer ce mode. »
Cette découverte coïncide avec des attaques de ransomware Cactus observées par la société de cybersécurité Trellix. Ces attaques exploitent des failles de sécurité dans Ivanti Sentry pour installer le ransomware à l’aide d’outils légitimes de bureau à distance comme AnyDesk et Splashtop.
L’activité des ransomwares continue de « rester en hausse » en 2024, avec 962 attaques signalées au premier trimestre, contre 886 l’année précédente. LockBit, Akira et BlackSuit demeurent les familles de ransomware les plus répandues.
Selon le rapport d’incident 2024 de Palo Alto Networks Unit 42, le délai médian entre la compromission et l’exfiltration des données est passé de neuf jours en 2021 à deux jours l’an dernier. Dans 45% des cas cette année, il était de moins de 24 heures.
« Les preuves disponibles suggèrent que l’exploitation des vulnérabilités connues dans les applications accessibles au public reste le principal vecteur des attaques de ransomware, » indique la société Symantec. « L’utilisation de pilotes vulnérables apportés par les attaquants (BYOVD) reste une technique privilégiée, notamment pour désactiver les solutions de sécurité. »
Implications sécuritaires : Ce que vous devez savoir
La nouvelle version de HardBit Ransomware présente des risques accrus pour les entreprises et les particuliers. L’utilisation de techniques avancées d’obfuscation et de protection par mot de passe complique considérablement la détection et l’analyse du malware, augmentant la probabilité de réussites des attaques. Les effets potentiels incluent la paralysie des systèmes, la perte de données critiques et des coûts importants liés à la récupération. Ces attaques peuvent également nuire à la réputation des entreprises et provoquer des pertes de confiance parmi les clients et partenaires.
Protégez-vous : Étapes clés contre les nouvelles vulnérabilités
Pour se protéger contre HardBit et similaires, il est crucial d’adopter des mesures préventives solides. Maintenez vos systèmes à jour avec les derniers correctifs de sécurité et utilisez des mots de passe robustes et uniques. Limitez les accès RDP et SMB à l’aide de VPN sécurisés et de l’authentification multi-facteurs (MFA). De plus, implémentez des solutions avancées de détection des intrusions et formez régulièrement vos équipes à reconnaître les tentatives de phishing et autres méthodes de compromission. Finalement, effectuez régulièrement des sauvegardes de vos données critiques et testez vos plans de récupération d’urgence pour minimiser l’impact des éventuelles attaques.
