Pesquisadores de cibersegurança destacaram uma nova versão do ransomware HardBit, que agora utiliza proteção por frase secreta para evitar a detecção. O HardBit, ativo desde outubro de 2022, é um grupo de ameaças financeiras que se destaca por não operar um site de vazamento de dados, mas pressiona as vítimas com ameaças de futuros ataques. A comunicação principal é via Tox. Embora o vetor de acesso inicial não seja claro, suspeita-se que envolva força bruta em serviços RDP e SMB.
Após comprometer a rede, os invasores utilizam ferramentas como Mimikatz para roubo de credenciais e avançam lateralmente usando RDP. A versão 4.0 do HardBit desabilita o Microsoft Defender Antivirus e outros serviços para evitar a detecção, criptografando arquivos e alterando o rótulo do volume do sistema para “Locked by HardBit”. Além disso, pode apagar irrevogavelmente os arquivos se a “wiper mode” for ativada.
A atividade de ransomware continua a aumentar em 2024, com 962 ataques registrados no primeiro trimestre, sendo LockBit, Akira e BlackSuit as famílias mais prevalentes. Segundo a Palo Alto Networks, o tempo médio para exfiltração de dados caiu para dois dias. Explorações de vulnerabilidades conhecidas em aplicativos públicos continuam sendo o principal vetor de ataques, com a tática BYOVD (Bring Your Own Vulnerable Driver) sendo usada para desativar soluções de segurança.