Киберпреступная группировка HardBit с помощью одноименной программы-шифровальщика пыталась вымогать средства у российской организации, хотя ранее об атаках этих хакеров писали только зарубежные компании. Наши коллеги из центра расследования киберинцидентов Solar JSOC CERT провели подробный анализ образцов различных версий HardBit и выпустили декриптор для шифровальщика HardBit 3.0.
Группировка HardBit известна с октября 2022 года, она шифрует данные компаний и связывается с жертвой по электронной почте и мессенджеру Tox, требуя выкуп в биткоинах за расшифровку. При этом у группировки нет DLS-сайта — не удалось найти и информацию в открытых источниках о публикации данных от HardBit.
Чтобы понять, какие версии HardBit подвержены расшифровке файлов, эксперты провели анализ всех версий шифровальщика, которые удалось найти. В HardBit 1.0. применялся асимметричный алгоритм шифрования — в этом случае расшифровать данные без приватного ключа невозможно.
В более поздних версиях HardBit 2.0 и 3.0 хакеры генерировали пароль для шифрования из статических данных жертвы. Если воссоздать аналогичный алгоритм подсчета идентификатора жертвы, который генерировался при запуске шифровальщика, то возможно расшифровать и данные.
Также, в отличие от первой версии, в HardBit 2.0 был реализован алгоритм подсчета идентификатора жертвы (client_id), изменена схема запуска потоков шифрования, а имена зашифрованных файлов изменялись на случайные. Эти изменения продолжают использоваться в HardBit 3.0. Помимо этого, в коде HardBit 2.0 были обнаружены русскоязычные наименования вроде «Ivan Medvedev» или «Aleksandr», однако это может быть «ложным флагом».
В дополнение был обнаружен образец HardBit с графическим интерфейсом и функционалом вайпера, что расширяет арсенал группировки.
Эксперты из Solar JSOC CERT разработали декриптор для HardBit 3.0. Он представляет собой консольную программу на .NET 4.8.
Полный отчет, а также декриптор доступны по ссылке.