HardBit 4.0: Análisis de Ransomware y Hallazgos Clave
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
HardBit 4.0 es una variante de ransomware que utiliza el infector de archivos Neshta como su cargador y se entrega en versiones tanto de CLI como de GUI. A diferencia de muchos grupos modernos, no está vinculado a un portal de filtraciones de doble extorsión y puede incluir una capacidad opcional de «Borrador» diseñada para dañar irreversiblemente los datos. La ejecución está controlada por un ID de autorización de tiempo de ejecución y una clave de cifrado, agregando efectivamente un control de estilo frase de contraseña antes de que comience el cifrado.
Investigación
La evaluación sugiere que el acceso inicial generalmente ocurre mediante actividad de fuerza bruta a través de RDP utilizando la herramienta NLBrute, seguido de la cosecha de credenciales a través de Mimikatz. El movimiento lateral se lleva a cabo luego a través de RDP con las credenciales robadas, apoyado por utilidades de descubrimiento y escaneo como KPortScan 3.0 y Advanced Port Scanner. Neshta se utiliza para soltar el ransomware en el directorio %TEMP% y persistir alterando el registro para que el malware se invoque cada vez que se inicie cualquier archivo .exe.
Mitigación
Requerir contraseñas fuertes y únicas para las cuentas habilitadas con RDP y reducir la exposición externa de RDP siempre que sea posible. Esté atento a los cambios en el registro asociados con la manipulación de Windows Defender y el svchost.com mecanismo de persistencia. Implementar lista de permitidos de aplicaciones y controles de comportamiento para detectar o bloquear el uso no autorizado de Mimikatz y herramientas de escaneo de red.
Respuesta
Si se encuentra actividad sospechosa, aísle el host, capture evidencia volátil y detenga el proceso de ransomware. Recupere los datos afectados de copias de seguridad confiables solo después de confirmar que el actor de la amenaza ha sido completamente removido. Complete la validación forense revisando las modificaciones del registro, las tareas programadas y cualquier artefacto de volcado de credenciales.
Flujo de Ataque
Detecciones
Actividad sospechosa de la herramienta Wbadmin (a través de línea de comandos)
Ver
LOLBAS WScript / CScript (a través de creación de proceso)
Ver
Desactivación de Protecciones de Windows Defender (a través de evento de registro)
Ver
Ejecución sospechosa de Bcdedit (a través de línea de comandos)
Ver
Crear o eliminar copia sombra a través de Powershell, CMD o WMI (a través de línea de comandos)
Ver
Actividad sospechosa de VSSADMIN (a través de línea de comandos)
Ver
IOCs (Correos electrónicos) para detectar: Análisis de Ransomware HardBit 4.0
Ver
Detección de Manipulación de Características de Seguridad de Windows Defender por HardBit 4.0 [Evento de Registro de Windows]
Ver
Detección de Ejecución de Mimikatz a través de Script Batch Personalizado [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haber pasado.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y apuntar a generar exactamente la telemetría esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
El adversario ha obtenido privilegios administrativos locales en una estación de trabajo comprometida. Para recoger credenciales, colocan un archivo batch personalizado llamado!start.baten el mismo directorio quemimikatz.exe. El archivo batch simplemente lanza mimikatz con los comandosprivilege::debugandsekurlsa::logonpasswords. Al invocar el archivo batch desde un indicador de PowerShell, la línea de comandos registrada por el Evento 4688 contendrá la cadena literal!start.bat, satisfaciendo la condición de detección. -
Script de Prueba de Regresión:
# --------------------------------------------------------- # Configuración: crear un directorio temporal y colocar mimikatz # --------------------------------------------------------- $tempDir = "$env:TEMPmimikatz_test" New-Item -ItemType Directory -Force -Path $tempDir | Out-Null # Asumir que mimikatz.exe está disponible en C:Toolsmimikatz.exe Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force # --------------------------------------------------------- # Crear el script batch personalizado !start.bat # --------------------------------------------------------- $batPath = Join-Path $tempDir "!start.bat" @' @echo off "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit '@ | Set-Content -Path $batPath -Encoding ASCII # --------------------------------------------------------- # Ejecutar el script batch (este es el paso que debería disparar) # --------------------------------------------------------- $cmd = "cmd.exe /c `"$batPath`"" Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow # --------------------------------------------------------- # Esperar un corto periodo para asegurar que el evento esté registrado # --------------------------------------------------------- Start-Sleep -Seconds 5 -
Comandos de Limpieza:
# Eliminar el directorio temporal y todos los artefactos Remove-Item -Path $tempDir -Recurse -Force