HardBit ransomware tiếp tục phát triển, đặt ra một mối đe dọa mạng nghiêm trọng cho các tổ chức trên toàn cầu. Phiên bản mới nhất, HardBit 4.0, là một biến thể nâng cấp từ chủng đã hoạt động từ năm 2022, mang đến các tính năng tiên tiến hơn và kỹ thuật cải thiện để né tránh phát hiện.

Sự cải tiến này thể hiện một bước tiến đáng kể trong khả năng của ransomware này nhằm vượt qua các biện pháp bảo mật, đồng thời duy trì quyền kiểm soát trên các hệ thống bị nhiễm.

Không giống như nhiều nhóm ransomware khác, các đối tượng vận hành HardBit hiện không duy trì một trang rò rỉ dữ liệu công khai để thực hiện chiến thuật tống tiền kép. Thay vào đó, chúng tập trung hoàn toàn vào các yêu cầu tiền chuộc dựa trên mã hóa dữ liệu.

Sự Phát Triển của HardBit 4.0

HardBit 4.0 đại diện cho một thế hệ mới của mã độc ransomware, được thiết kế để vượt qua các lớp phòng thủ truyền thống. Phiên bản này chứng tỏ sự tinh vi trong việc thực hiện các cuộc tấn công và duy trì sự ẩn mình.

Các nhà nghiên cứu bảo mật đã ghi nhận sự nâng cấp về cơ chế hoạt động, từ cách thức xâm nhập đến kỹ thuật né tránh phát hiện, làm tăng đáng kể rủi ro bảo mật cho các hệ thống dễ bị tổn thương.

Kỹ Thuật Xâm Nhập Ban Đầu

Chuỗi tấn công của HardBit ransomware bắt đầu bằng việc các tác nhân đe dọa nhắm vào các điểm yếu trong hạ tầng mạng. Việc thiết lập quyền truy cập ban đầu là bước quan trọng để triển khai giai đoạn tiếp theo của cuộc tấn công.

Khai Thác RDP và SMB

Các nhà phân tích của Picus Security đã xác định rằng các tác nhân HardBit 4.0 thiết lập quyền truy cập ban đầu thông qua các cuộc tấn công brute-force chống lại các dịch vụ Remote Desktop Protocol (RDP) và Server Message Block (SMB) đang mở. Đây là những điểm yếu phổ biến thường bị khai thác.

Khi đã có quyền truy cập vào một hệ thống, kẻ tấn công ngay lập tức tập trung vào việc thu thập thông tin xác thực (credentials). Mục tiêu là di chuyển ngang (lateral movement) qua mạng và mở rộng chỗ đứng của chúng, chiếm đoạt thêm tài nguyên.

Chiến Lược Triển Khai Đa Giai Đoạn của HardBit 4.0

Các nhà nghiên cứu của Picus Security đã lưu ý rằng mã độc ransomware này sử dụng chiến lược triển khai đa giai đoạn, khiến việc phát hiện trở nên đặc biệt khó khăn. Cách tiếp cận này giúp HardBit 4.0 che giấu hoạt động của mình hiệu quả hơn.

Xem chi tiết nghiên cứu tại: Picus Security Blog.

Vai Trò của Neshta Dropper

Phương pháp phân phối của HardBit 4.0 dựa vào Neshta, một loại virus lây nhiễm tệp đã tồn tại từ năm 2003. Hiện tại, Neshta đóng vai trò là cơ chế thả (dropper) được thiết kế đặc biệt để phân phối và thực thi mã độc ransomware HardBit 4.0.

Cách tiếp cận này giúp HardBit ransomware vượt qua khả năng phát hiện của các phần mềm chống virus truyền thống. Neshta sửa đổi các tệp thực thi và thiết lập khả năng duy trì quyền truy cập thông qua thao tác registry.

Cơ Chế Khởi Chạy và Duy Trì Quyền Truy Cập

Dropper Neshta hoạt động thông qua quy trình bốn bước thể hiện sự tinh vi về kỹ thuật. Khi được thực thi, nó đầu tiên đọc tệp nhị phân của chính mình và trích xuất payload HardBit từ các offset bộ nhớ cụ thể.

Tiếp theo, dropper giải mã phần header và body của HardBit, ghi tệp nhị phân ransomware đã được tái tạo vào thư mục tạm thời của hệ thống. Cuối cùng, nó khởi chạy mã độc ransomware thông qua các chức năng thực thi hợp pháp của Windows.

Để đảm bảo mã độc ransomware tồn tại qua các lần khởi động lại, Neshta sao chép chính nó vào thư mục gốc của hệ thống dưới dạng tệp ẩn. Đồng thời, nó sửa đổi các khóa registry để bất cứ khi nào người dùng cố gắng chạy bất kỳ tệp thực thi nào, malware sẽ tự động thực thi trước.

Chiến Thuật Né Tránh Phát Hiện Nâng Cao

Ngoài việc duy trì quyền truy cập, HardBit 4.0 còn triển khai các chiến thuật né tránh phòng thủ mạnh mẽ, nhắm trực tiếp vào các phần mềm bảo mật. Điều này làm cho việc phòng chống trở nên phức tạp hơn đối với các giải pháp an ninh mạng truyền thống.

Vô Hiệu Hóa Các Tính Năng Bảo Mật

Mã độc ransomware này sửa đổi nhiều mục nhập trong Windows Registry để vô hiệu hóa các tính năng quan trọng của Windows Defender. Điều này bao gồm Real-Time Monitoring, Tamper Protection, và các khả năng Anti-Spyware.

Bằng cách vô hiệu hóa các lớp bảo vệ cốt lõi này, HardBit 4.0 giảm đáng kể khả năng bị phát hiện và gỡ bỏ, cho phép nó hoạt động tự do hơn trên hệ thống bị xâm nhập.

Che Giấu Mã và Bảo Vệ Payload

Tệp nhị phân của HardBit 4.0 được che giấu (obfuscated) bằng cách sử dụng phiên bản đã sửa đổi của bộ bảo vệ ConfuserEx. Kỹ thuật này khiến việc đảo ngược kỹ thuật (reverse engineering) và phân tích trở nên khó khăn cho các chuyên gia bảo mật.

Một tính năng độc đáo làm nên sự khác biệt của HardBit 4.0 là cơ chế bảo vệ bằng mật khẩu (passphrase protection). Cơ chế này yêu cầu kẻ tấn công phải cung cấp các khóa ủy quyền cụ thể khi chạy, ngăn chặn việc kích hoạt ngẫu nhiên hoặc tự động trong môi trường sandbox. Điều này giúp tránh việc phơi bày hành vi của malware cho các nhà nghiên cứu bảo mật.

Biện Pháp Phòng Ngừa và Giảm Thiểu Rủi Ro

Các tổ chức có thể tăng cường khả năng phòng thủ chống lại HardBit 4.0 bằng cách giám sát hoạt động RDP và SMB đáng ngờ. Đây là bước đầu tiên và quan trọng trong việc bảo vệ khỏi các cuộc tấn công mạng.

Việc triển khai các thực hành quản lý thông tin xác thực mạnh mẽ (strong credential management) là cực kỳ cần thiết. Điều này bao gồm việc sử dụng mật khẩu mạnh, xác thực đa yếu tố và thường xuyên xoay vòng mật khẩu.

Duy trì các hệ thống sao lưu được cập nhật và cô lập khỏi quyền truy cập mạng là một biện pháp phòng ngừa quan trọng khác. Điều này đảm bảo rằng các tùy chọn khôi phục vẫn không thể bị kẻ tấn công truy cập ngay cả khi hệ thống chính bị xâm nhập bởi mã độc ransomware.

Việc thường xuyên cập nhật bản vá và duy trì một chương trình bảo mật mạng toàn diện là tối quan trọng để chống lại các mối đe dọa ngày càng phát triển như HardBit ransomware. Một chiến lược phòng thủ theo chiều sâu (defense-in-depth) sẽ giúp giảm thiểu rủi ro bảo mật từ các biến thể mã độc mới.