Дешифратор «РТК-Солар» для шифровальщика HardBit
По сообщению компании «РТК-Солар», эксперты ее центра расследования киберинцидентов Solar JSOC CERT провели анализ образцов всех версий программы-шифровальщика HardBit и нашли способ расшифровать файлы.
Киберпреступная группировка HardBit, известна с октября 2022 г., она шифрует данные компаний с помощью одноименной программы-шифровальщика и связывается с жертвой по электронной почте и мессенджеру Tox, требуя выкуп в биткоинах за расшифровку. Ранее об атаках группировки сообщали только зарубежные компании, но теперь в Solar JSOC CERT обратился российский заказчик, атакованный шифровальщиком HardBit 3.0. Злоумышленники запросили 25 тыс. долл. за 15 атакованных хостов.
Эксперты проанализировали образец исполняемого файла, полученный от заказчика, а также другие образцы различных версий HardBit. В HardBit 1.0. применялся асимметричный алгоритм шифрования – в этом случае данные нельзя расшифровать без ключа злоумышленников. В более поздних версиях HardBit 2.0 и 3.0 хакеры использовали ненадежную модель генерации пароля для шифрования. Это позволило Solar JSOC CERT расшифровать данные.
Эксперты предполагают, что злоумышленники тратят мало времени на выпуск новых версий: Между первой и второй версиями HardBit прошло меньше месяца, а между второй и третьей версией – три месяца.
В коде HardBit 2.0 были обнаружены русскоязычные наименования, такие как «Ivan Medvedev» или «Aleksandr» – это может быть намеком на местонахождение разработчиков шифровальщика или ложным флагом, чтобы сбить с толку исследователей. Также удалось найти образцы, предшествующие HardBit, что подтверждает факт разработки шифровальщиков еще до официального создания группировки. Кроме того, исследователи обнаружили образец с графическим интерфейсом и функционалом вайпера (вредоносного ПО для уничтожения данных на компьютере жертвы).
Как комментируют в «РТК-Солар», группа HardBit может исправить уязвимости в своем алгоритме шифрования, и новую версию HardBit 4.0 уже будет невозможно расшифровать без приватных ключей злоумышленников. Предсказать дату релиза новой версии нельзя, но, по мнению экспертов, к концу года можно ожидать новые образцы на VirusTotal. Целями HardBit на данный момент могут быть предприятия малого и среднего бизнеса в различных странах, включая Россию.