HardBit 2.0

HardBitはランサムウェアです。
内容を見てみましょう。

• 入口
  2023年2月時点で、入口は確認されていません。
  おそらく他のランサムウエア攻撃と同じような手口で攻撃を開始するものと考えられます。
• 環境確認
  解析に使用されているサンボボックス上で動いているのかそうでないかを確認します。
  情報収集はWindows Management Instrumentation(WMI)機能を使用するなどして実施されます。
  ハードウェア構成、MACアドレスなどの機器情報、BIOS情報、ユーザ名などが収集されます。
  サンドボックスで実行されている場合、これらの情報にはなんらかのサンドボックスであることを示す情報が含まれることを前提にした確認行為です。
• ファイル名変更準備
  この攻撃はランサムウェアですので、ターゲットのファイルを暗号化します。
  暗号化が終わったファイルは、拡張子がhardbit2に変更されます。
  この準備として、拡張子がhardbit2というファイルのためのアイコン設定が実施されます。
  アイコンに設定された画像は、この段階で被害者の壁紙にも設定されます。
• ボリュームシャドウコピーサービスの無効化
  侵害環境において、ボリュームシャドウコピーサービスが無効にされます。
  そして作成済みのシャドウコピーとバックアップが削除されます。
• OS再起動の対応
  多くのファイルが暗号化されるため、通常のOS起動ができなくなる可能性があります。
  しかし被害者はOS再起動を試みることを攻撃者は想定します。
  そのため、ブートの設定のエラーを無視するオプションを有効化し、回復オプションを無効化します。
• Windows defenderの無効化
  単にWindows defenderの動作を無効化するということではありません。
  改ざん防止を無効にし、スパイウェア対策機能を無効にし、リアルタイムの行動監視を無効にし、リアルタイムのファイル保護を無効にし、リアルタイムプロセススキャンを無効にします。
• プロセス終了
  できるだけ多くのファイルを暗号化できるように、他のサービスを停止させます。
  これによりファイルが他のサービスに利用されていてロックされてしまって暗号化できないという事態を回避しようとします。
  実に86種のサービスの停止を試みます。
• 永続化
  OSが再起動された後でも再度攻撃を継続できるようにするため、スタートアップに自身を登録します。
• 暗号化実施
  準備が整うと、暗号化を開始します。
  暗号化しているドライブのルートと、暗号化しているファイルの保存されているすべてのフォルダーに身代金メモが配置されます。
  暗号化が完了すると、HardBit2.0の作成した画像ファイルをデスクトップに保存し、それを壁紙に設定します。
  そしてHTA形式で作成された文書を開き、攻撃者への連絡を促します。

技術的には攻撃の内容はこういったものになっています。
しかし、もう一つ注目すべき点があります。

この攻撃の身代金メモには次のような内容が含まれます。
「サイバー保険に入っている場合、あなたの支払いがうまくいくように、保険会社との契約の内容をこっそり連絡してください。」
保険会社は契約企業の利益よりも保険金をいかに少なく支払うかしか考えていないので取引を混乱させる、と論理を展開します。
保険会社を取引を混乱させて交渉をこじらせる悪者として扱うのです。
被害者の多くがこの言葉を真に受けるのかはわかりませんが、精神状態が通常ではなくなった被害者の中には文面通りに行動してしまう人が含まれているかもしれません。
しかし、落ち着いて考えると、攻撃者が被害者のことを大事に扱うとは思えません。
すべては攻撃者が金銭を得るための活動にすぎません。攻撃者の論理をそのまま信じることはできません。

攻撃側は常に手口を変更し拡張してきます。
技術的な意味での機能面にも注意が必要ですが、身代金メモの内容がより練られたものになってきていることを実感します。

参考記事（外部リンク）：HardBit 2.0 Ransomware
www.varonis.com/blog/hardbit-2.0-ransomware