HardBit ransomware wants insurance details to set the perfect price
กลุ่มแรนซัมแวร์ HardBit ได้อัปเกรดเป็นเวอร์ชัน 20 และกำลังพยายามเจรจาบางอย่างกับบริษัทประกันของเหยื่อแทนที่จะระบุจำนวนบิตคอยน์ที่ขอในบันทึกเรียกค่าไถ่นี้ ตามรายงานจาก Varonis ซึ่งเป็นบริษัทด้านความปลอดภัยและการวิเคราะห์ข้อมูล กล่าวว่า HardBit เวอร์ชันแรกนั้นถูกพบในเดือนตุลาคม พศ 2565 ในขณะที่เวอร์ชัน 20 เปิดตัวในเดือนพฤศจิกายน พศ 2565 และยังคงเผยแพร่อยู่ในปัจจุบัน
นักวิจัยเริ่มสังเกตเห็นว่าแรมซัมแวร์ตัวนี้ทำการเข้ารหัสไฟล์จำนวนมาก ซึ่งอาจทำให้เกิดข้อผิดพลาดเมื่อรีสตาร์ท Windows เพื่อหลีกเลี่ยงปัญหาในการเริ่มต้นใช้งานระบบ มัลแวร์จะแก้ไขการกำหนดค่าการบู๊ตใหม่เพื่อเปิดใช้งานตัวเลือก ignore any failures และปิดใช้งานตัวเลือกการกู้คืน และเพื่อให้เหยื่อไม่สามารถกู้คืนไฟล์ที่เข้ารหัสได้ แรนซัมแวร์ HardBit 20 จะลบ Volume Shadow Copy Service (VSS) โดยใช้ Service Control Manager และ backup utility catalog ของ Windows
และเพื่อป้องกันไม่ให้ Windows Defender Antivirus ทำการ block กระบวนการเรียกค่าไถ่ จะทำการเปลี่ยนแปลง Windows Registry หลายอย่างเพื่อปิดใช้งานคุณสมบัติ Windows Defender เช่น anti-spyware capabilities, real-time behavioral monitoring, real-time on-access file protection, and real-time process scanning นอกจากนี้แรนซัมแวร์ HardBit 20 ยังสามารถคงอยู่ได้โดยการคัดลอกเวอร์ชันไปยังโฟลเดอร์ Startup ของเหยื่อ ซึ่งจะใช้ชื่อไฟล์เลียนแบบไฟล์ปฏิบัติการ svchostexe เพื่อหลีกเลี่ยงการตรวจจับ
https://www.bleepingcomputer.com/news/security/hardbit-ransomware-wants-insurance-details-to-set-the-perfect-price