HardBit 4, así funciona un Ransomware moderno

El Ransomware es un ataque informático que infecta un PC, smartphone (o cualquier otro dispositivo electrónico) con el objetivo de bloquear su funcionamiento y/o acceso a una parte o a todo el equipo. Su característica más distintiva es que se apodera de los archivos mediante un sistema de cifrado que impide el acceso de su propietario. A partir de ahí, los ciberdelincuentes exigen a los afectados una cantidad de dinero como "rescate" para liberarlos.

No sorprende que el Ransomware se haya convertido los últimos años en la principal amenaza informática. Aunque también se emplea para otros objetivos (introducción de malware, para control de equipos, espionaje, robo de información confidencial o simplemente para hacer daño por encargo) su motivación principal sigue siendo la económica. Y mueve cantidades astronómicas: más de 1.000 millones de dólares pagados en rescates en 2023.

HardBit 4, ¿Cómo funciona?

Este Ransomware fue detectado por primera vez en octubre de 2022 y desde sus inicios mostró motivaciones exclusivamente financieras, operando, como otros grupos de ransomware, con el objetivo de generar ingresos ilícitos a través de tácticas de doble extorsión.

La versión 4.0 llega con importantes mejoras en dos áreas fundamentales. La primera son las técnicas de ofuscación para disuadir los esfuerzos de análisis en su detección. A diferencia de las versiones anteriores, dispone de protección con contraseña, «que debe proporcionarse durante el tiempo de ejecución para que el ransomware se ejecute correctamente. La ofuscación adicional impide que los investigadores de seguridad analicen el malware», explican.

Otro rasgo distintivo de este malware, es que no opera un sitio de filtración de datos, sino que presiona a las víctimas para que paguen amenazando con realizar más ataques en el futuro. Su principal modo de comunicación se produce a través del servicio de mensajería instantánea Tox y aunque no está claro el vector de acceso inicial exacto utilizado para violar los entornos de destino, se sospecha que usa ataques de fuerza bruta a servicios RDP y SMB.

Los pasos siguientes incluyen el robo de credenciales mediante herramientas como Mimikatz y NLBrute, y el descubrimiento de la red a través de utilidades como Advanced Port Scanner, lo que permite a los atacantes moverse lateralmente a través de la red por medio de RDP. El cifrado de los hosts de las víctimas se lleva a cabo mediante un virus conocido como Neshta, que los ciberdelincuentes han utilizado en el pasado para distribuir otros ransomware como Big Head.

HardBit está diseñado para desactivar el sistema de seguridad estándar de Windows, el Microsoft Defender, y de otros antivirus, finalizando procesos y servicios para evadir la posible detección de sus actividades e inhibir la recuperación del sistema. Después, cifra los archivos de interés, actualiza sus iconos, cambia el fondo de pantalla del escritorio y altera la etiqueta del volumen del sistema con la cadena «Bloqueado por HardBit».

Muy, muy peligroso, y a la altura en técnicas de desarrollo y funcionamiento con otros grandes como LockBit, Akira y BlackSuit. Y es que el ransomware sigue siendo una tendencia al alza y enormemente rentable para los delincuente. Según los investigadores de Symantec, todas las evidencias sugieren que «la explotación de vulnerabilidades conocidas en aplicaciones públicas sigue siendo el principal vector de ataques de ransomware».