SOC Prime Bias: Alto

29 Dec 2025 08:37 UTC

HardBit 4.0: Análisis de Ransomware y Hallazgos Clave

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
HardBit 4.0: Análisis de Ransomware y Hallazgos Clave
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

HardBit 4.0 es una variante de ransomware que utiliza el infector de archivos Neshta como su cargador y se entrega en versiones tanto de CLI como de GUI. A diferencia de muchos grupos modernos, no está vinculado a un portal de filtraciones de doble extorsión y puede incluir una capacidad opcional de «Borrador» diseñada para dañar irreversiblemente los datos. La ejecución está controlada por un ID de autorización de tiempo de ejecución y una clave de cifrado, agregando efectivamente un control de estilo frase de contraseña antes de que comience el cifrado.

Investigación

La evaluación sugiere que el acceso inicial generalmente ocurre mediante actividad de fuerza bruta a través de RDP utilizando la herramienta NLBrute, seguido de la cosecha de credenciales a través de Mimikatz. El movimiento lateral se lleva a cabo luego a través de RDP con las credenciales robadas, apoyado por utilidades de descubrimiento y escaneo como KPortScan 3.0 y Advanced Port Scanner. Neshta se utiliza para soltar el ransomware en el directorio %TEMP% y persistir alterando el registro para que el malware se invoque cada vez que se inicie cualquier archivo .exe.

Mitigación

Requerir contraseñas fuertes y únicas para las cuentas habilitadas con RDP y reducir la exposición externa de RDP siempre que sea posible. Esté atento a los cambios en el registro asociados con la manipulación de Windows Defender y el svchost.com mecanismo de persistencia. Implementar lista de permitidos de aplicaciones y controles de comportamiento para detectar o bloquear el uso no autorizado de Mimikatz y herramientas de escaneo de red.

Respuesta

Si se encuentra actividad sospechosa, aísle el host, capture evidencia volátil y detenga el proceso de ransomware. Recupere los datos afectados de copias de seguridad confiables solo después de confirmar que el actor de la amenaza ha sido completamente removido. Complete la validación forense revisando las modificaciones del registro, las tareas programadas y cualquier artefacto de volcado de credenciales.

Flujo de Ataque

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:
    El adversario ha obtenido privilegios administrativos locales en una estación de trabajo comprometida. Para recoger credenciales, colocan un archivo batch personalizado llamado !start.bat en el mismo directorio que mimikatz.exe. El archivo batch simplemente lanza mimikatz con los comandos privilege::debug and sekurlsa::logonpasswords . Al invocar el archivo batch desde un indicador de PowerShell, la línea de comandos registrada por el Evento 4688 contendrá la cadena literal !start.bat, satisfaciendo la condición de detección.

  • Script de Prueba de Regresión:

    # ---------------------------------------------------------
    # Configuración: crear un directorio temporal y colocar mimikatz
    # ---------------------------------------------------------
    $tempDir = "$env:TEMPmimikatz_test"
    New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
    
    # Asumir que mimikatz.exe está disponible en C:Toolsmimikatz.exe
    Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force
    
    # ---------------------------------------------------------
    # Crear el script batch personalizado !start.bat
    # ---------------------------------------------------------
    $batPath = Join-Path $tempDir "!start.bat"
    @'
    @echo off
    "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
    '@ | Set-Content -Path $batPath -Encoding ASCII
    
    # ---------------------------------------------------------
    # Ejecutar el script batch (este es el paso que debería disparar)
    # ---------------------------------------------------------
    $cmd = "cmd.exe /c `"$batPath`""
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow
    
    # ---------------------------------------------------------
    # Esperar un corto periodo para asegurar que el evento esté registrado
    # ---------------------------------------------------------
    Start-Sleep -Seconds 5
  • Comandos de Limpieza:

    # Eliminar el directorio temporal y todos los artefactos
    Remove-Item -Path $tempDir -Recurse -Force