HardBitの新しい戦術

HardBitはランサムウェアグループです。
HardBitは2022年から活動が確認されています。
活動を通じて使用するソフトウェアを変更してきていて、現在はHardBit4.0となっています。
どのような点が変化してきているのでしょうか。

  • パスフレーズ保護による難読化
    HardBitにはいくつかの難読化が施されています。
    改行を減らす、変数名を意味のないものにする、なんらかの変換を行わないと解釈できないようにする、などいくつもの手法がありますが、ここではまた違った方向の方法が使用されています。
    それはパスフレーズです。
    実行時にランサムウェアをそのまま実行しても、ランサムウェアとしての機能は動作しないような構造になっています。
    実行時にパスフレーズを渡した場合にだけ、ランサムウェアとしての機能が動作するようになっています。
    研究者がマルウェアを実際に動作させて環境の変化からマルウェアの動作内容を解析するような手法を選択しようとする場合、これは意図した結果を得られなくしてしまいます。
    パスフレーズによる難読化といえます。
  • NeshtaによるPack
    NeshtaはHardBitよりも古くから使用されているウイルスです。
    これは、正規のファイルに感染し感染環境で永続化する動きを実行します。
    HardBitはこのNeshtaをドロッパーとして使用しています。
    これはHardBitに限った話ではなく、他の脅威アクターも選択することのある手法になってきています。

HardBitの実装は継続的に変化してきています。
これまで大きな被害にあっていないから大丈夫だろうというのは勘違いで、単に運が良かっただけなのかもしれません。
防御側も継続的な改善で対応する必要があると認識する必要がありそうです。

Hardening of HardBit
https://www.cybereason.com/blog/hardening-of-hardbit

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。