Cyberattaque

Le ransomware HardBit veut connaître les détails de l’assurance pour fixer le prix idéal

Par Philippe Ternision , le 21 février 2023 , mis à jour le 21 février 2023 - 4 minutes de lecture
hardbit
AccueilActusCyberattaqueLe ransomware HardBit veut connaître les détails de l’assurance pour fixer le prix idéal
Notez l'article

La menace du ransomware HardBit est passée à la version 2.0 et ses développeurs tentent de trouver un accord sur le paiement d’une rançon qui serait couverte par l’assureur de la victime.

L’acteur de la menace tente spécifiquement de persuader la victime qu’il est dans son intérêt de divulguer toutes les informations relatives à son assurance afin qu’elle puisse modifier ses demandes pour que l’assureur couvre tous les frais.

L’émergence de HardBit 2.0

Selon une étude de Varonis, une entreprise spécialisée dans la sécurité et l’analyse des données, la version initiale de HardBit a été remarquée en octobre 2022, tandis que la version 2.0 a été introduite en novembre 2022 et est toujours celle qui est actuellement utilisée.

HardBit ne dispose pas d’un site de fuite de données, contrairement à la plupart des ransomwares, bien que ses développeurs affirment avoir volé les données des victimes et menacent de les rendre publiques si une rançon n’est pas payée.

En tant que variante de ransomware, HardBit 2.0 a la capacité de désactiver la surveillance comportementale en temps réel de Windows Defender, l’analyse des processus et les protections des fichiers en cours d’accès en modifiant le registre.

Afin de rendre les fichiers sensibles disponibles pour le cryptage, le malware cible également 86 processus pour les arrêter. En s’incluant dans le dossier “Startup”, il établit la persistance et détruit les copies d’ombre du volume pour rendre la récupération des données plus difficile.

Un aspect intrigant du processus de cryptage est que, contrairement à de nombreuses souches, HardBit 2.0 ouvre les fichiers et remplace leur contenu par des données cryptées, au lieu d’écrire des données cryptées sur des copies de fichiers et de supprimer les originaux.

Cette méthode accélère un peu le cryptage tout en rendant plus difficile la récupération des fichiers originaux par les experts.

Négociation de la rançon

HardBit 2.0 installe un message sur l’ordinateur de la victime, mais contrairement aux autres types de ransomware, il ne précise pas combien les pirates exigent en échange de la clé de décryptage. Les victimes ont 48 heures pour entrer en contact avec l’attaquant en utilisant un programme de chat peer-to-peer, open-source et crypté.

HardBit 2.0 ransom note
Note de rançon de HardBit 2.0 (Varonis)

L’acteur de la menace conseille aux victimes d’entrer en contact avec lui directement pour discuter plutôt que de passer par des intermédiaires, car cela ne ferait qu’augmenter le coût global.

Pour les entreprises disposant d’une assurance contre les cyberattaques, les pirates ont un ensemble d’instructions plus détaillées et leur conseillent de divulguer le montant de l’assurance pour une communication productive.

En outre, les pirates présentent l’assureur comme le méchant qui les empêche de récupérer leurs données, donnant ainsi l’impression que la divulgation des informations d’assurance est avantageuse pour la victime.

Les acteurs de la menace affirment que les assureurs ne négocient jamais avec les auteurs de ransomware en tenant compte des intérêts de leurs clients, et qu’ils proposent donc des contre-offres absurdes à leurs demandes afin de faire échouer les discussions et d’éviter de payer.

Les opérateurs de HardBit écrivent aux victimes : “Pour éviter tout cela et obtenir l’argent de l’assurance, veillez à nous informer anonymement de la disponibilité et des conditions de la couverture d’assurance, cela est bénéfique pour vous et pour nous, mais pas pour la compagnie d’assurance.”

Instructions for insurance holders
Instructions pour les détenteurs d’assurance (Varonis)

Selon les attaquants, s’ils connaissaient le montant précis de l’assurance, ils sauraient quel montant exiger pour que l’assureur soit contraint de payer la demande.

Bien entendu, les victimes sont souvent tenues par contrat de ne pas communiquer les informations d’assurance à leurs agresseurs, faute de quoi l’assureur pourrait refuser de payer les dommages. C’est pour cette raison que les pirates exigent que ces informations soient fournies en privé.

L’objectif des opérateurs de ransomware est d’être payés, quelle que soit leur offre, et ils sont prêts à dire n’importe quoi pour y parvenir. Ils sont en réalité indignes de confiance.

La seule façon de lutter contre ce type de menace et d’y mettre un terme est de refuser de payer la rançon, de signaler l’incident aux autorités policières et de disposer d’un plan de secours fiable.

L’étude de Varonis fournit des informations techniques sur le fonctionnement de HardBit 2.0, depuis la première étape et la désactivation des mesures de sécurité jusqu’à l’obtention de la persistance et le déploiement de la routine de chiffrement.

Les indicateurs de compromission (IoC), qui aident à reconnaître la menace, ont également été partagés par les chercheurs.

 

Vues 50

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.