SOC Prime Bias: Alto

29 Dec 2025 08:37 UTC

HardBit 4.0: Analisi del Ransomware e Risultati Chiave

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
HardBit 4.0: Analisi del Ransomware e Risultati Chiave
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riassunto

HardBit 4.0 è una variante di ransomware che utilizza l’infettore di file Neshta come dropper ed è distribuito in versioni both CLI e GUI. A differenza di molti team moderni, non è legato a un portale di leak a doppia estorsione e può includere una capacità opzionale di ‘Wiper’ progettata per danneggiare irreversibilmente i dati. L’esecuzione è condizionata da un ID di autorizzazione runtime e una chiave di crittografia, aggiungendo efficacemente un controllo in stile passphrase prima che la crittografia inizi.

Indagine

La valutazione suggerisce che l’accesso iniziale avviene comunemente tramite attività di brute-force RDP utilizzando lo strumento NLBrute, seguita da un raccolta di credenziali tramite Mimikatz. Il movimento laterale viene quindi effettuato su RDP con le credenziali rubate, supportato da utility di scoperta e scansione come KPortScan 3.0 e Advanced Port Scanner. Neshta viene utilizzato per depositare il ransomware nella directory %TEMP% e persistere alterando il registro in modo che il malware venga invocato ogni volta che un file .exe viene lanciato.

Mitigazione

Richiedere password forti e uniche per gli account abilitati a RDP e ridurre l’esposizione esterna di RDP ove possibile. Osservare le modifiche al registro associate al manomissione di Windows Defender e il svchost.com meccanismo di persistenza. Implementare una lista di permessi delle applicazioni e controlli comportamentali per rilevare o bloccare l’uso non autorizzato di Mimikatz e strumenti di scansione della rete.

Risposta

Se viene rilevata attività sospetta, isolare l’host, acquisire prove volatili e interrompere il processo ransomware. Recuperare i dati affetti solo da backup fidati dopo aver confermato che l’attore della minaccia è stato completamente rimosso. Completare la convalida forense esaminando le modifiche al registro, le attività pianificate e gli eventuali artefatti di dumping delle credenziali.

Flusso di Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo Preliminare del Telemetria & Base deve essere passato.

Motivo: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente le TTP individuate e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco e Comandi:
    L’avversario ha ottenuto privilegi amministrativi locali su una workstation compromessa. Per raccogliere credenziali, lascia un file batch personalizzato chiamato !start.bat nella stessa directory di mimikatz.exe. Il file batch lancia semplicemente mimikatz con i comandi privilege::debug and sekurlsa::logonpasswords . Invocando il file batch da un prompt PowerShell, la linea di comando registrata dall’Evento 4688 conterrà la stringa letterale !start.bat, soddisfacendo la condizione di rilevamento.

  • Script di Test di Regressione:

    # ---------------------------------------------------------
    # Setup: creare una directory temporanea e posizionare mimikatz
    # ---------------------------------------------------------
    $tempDir = "$env:TEMPmimikatz_test"
    New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
    
    # Si presuppone che mimikatz.exe sia disponibile in C:Toolsmimikatz.exe
    Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force
    
    # ---------------------------------------------------------
    # Creare lo script batch personalizzato !start.bat
    # ---------------------------------------------------------
    $batPath = Join-Path $tempDir "!start.bat"
    @'
    @echo off
    "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
    '@ | Set-Content -Path $batPath -Encoding ASCII
    
    # ---------------------------------------------------------
    # Eseguire lo script batch (questo è lo step che dovrebbe attivarsi)
    # ---------------------------------------------------------
    $cmd = "cmd.exe /c `"$batPath`""
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow
    
    # ---------------------------------------------------------
    # Attendere un breve periodo per assicurarsi che l'evento sia registrato
    # ---------------------------------------------------------
    Start-Sleep -Seconds 5
  • Comandi di Pulizia:

    # Rimuovi la directory temporanea e tutti gli artefatti
    Remove-Item -Path $tempDir -Recurse -Force