SOC Prime Bias: Alto

29 Dez 2025 11:37
newspaper icon picussecurity.com

HardBit 4.0: Análise de Ransomware e Principais Descobertas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
HardBit 4.0: Análise de Ransomware e Principais Descobertas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

HardBit 4.0 é uma variante de ransomware que utiliza o infector de arquivos Neshta como seu carregador e é entregue tanto em versões de CLI quanto de GUI. Ao contrário de muitas equipes modernas, não está vinculado a um portal de vazamento de dupla extorsão e pode incluir uma capacidade opcional de “Wiper” projetada para danificar dados irreversivelmente. A execução é condicionada por um ID de autorização em tempo de execução e uma chave de criptografia, efetivamente adicionando um controle de estilo de senha antes de a criptografia começar.

Investigação

A avaliação sugere que o acesso inicial ocorre comumente através de atividades de força bruta de RDP usando a ferramenta NLBrute, seguido por coleta de credenciais via Mimikatz. O movimento lateral é então realizado sobre RDP com as credenciais roubadas, apoiado por utilitários de descoberta e varredura, como KPortScan 3.0 e Advanced Port Scanner. Neshta é usado para soltar o ransomware no diretório %TEMP% e persistir alterando o registro para que o malware seja invocado sempre que qualquer .exe for lançado.

Mitigação

Exija senhas fortes e exclusivas para contas habilitadas para RDP e reduza a exposição externa ao RDP sempre que possível. Fique atento a mudanças de registro associadas à adulteração do Windows Defender e ao svchost.com mecanismo de persistência. Implemente listas de permissão de aplicativos e controles comportamentais para detectar ou bloquear o uso não autorizado de Mimikatz e ferramentas de varredura de rede.

Resposta

Se atividade suspeita for encontrada, isole o host, capture evidências voláteis e pare o processo de ransomware. Recupere os dados afetados somente de backups confiáveis após confirmar que o ator da ameaça foi totalmente removido. Complete a validação forense revisando modificações de registro, tarefas agendadas e quaisquer artefatos de despejo de credenciais.

“graph TB %% Definições de classes classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% Nós de Técnicas tech_bruteforce[“<b>Técnica</b> – <b>T1110 Força Bruta</b><br/>Tenta adivinhar senhas tentando repetidamente credenciais.”] class tech_bruteforce action tech_exploit_remote[“<b>Técnica</b> – <b>T1210 Exploração de Serviços Remotos</b><br/>Usa credenciais válidas para acessar sistemas via RDP ou SMB.”] class tech_exploit_remote action tech_cred_dump[“<b>Técnica</b> – <b>T1003 Captura de Credenciais do SO</b><br/>Extrai credenciais da memória ou do registro.”] class tech_cred_dump action tech_discovery[“<b>Técnica</b> – <b>T1018 Descoberta de Sistema Remoto</b><br/>Enumera hosts, compartilhamentos e portas abertas.”] class tech_discovery action tech_rdp_lateral[“<b>Técnica</b> – <b>T1021.001 Serviços Remotos: RDP</b><br/>Estabelece sessões RDP para movimento lateral.”] class tech_rdp_lateral action tech_powershell[“<b>Técnica</b> – <b>T1059.001 PowerShell</b><br/>Executa comandos do PowerShell para modificar configurações do Defender.”] class tech_powershell action tech_obfuscation[“<b>Técnica</b> – <b>T1027 Arquivos ou Informações Ofuscadas</b><br/>Binário de ransomware é ofuscado com ConfuserEx.”] class tech_obfuscation action tech_proxy_exec[“<b>Técnica</b> – <b>T1218 Execução de Proxy de Binário do Sistema</b><br/>Usa ShellExecuteA para lançar payload a partir do dropper.”] class tech_proxy_exec action tech_persistence[“<b>Técnica</b> – <b>T1547.014 Execução Automática de Inicialização ou Logon: Active Setup</b><br/>Modifica o registro HKLM para persistência.”] class tech_persistence action tech_event_trigger[“<b>Técnica</b> – <b>T1546.002 Execução por Evento: Protótipo de Tela</b><br/>Executa dropper quando o protetor de tela é ativado.”] class tech_event_trigger action tech_encryption[“<b>Técnica</b> – <b>T1486 Dados Criptografados para Impacto</b><br/>Criptografa arquivos e exibe nota de resgate.”] class tech_encryption action tech_inhibit_recovery[“<b>Técnica</b> – <b>T1490 Inibindo Recuperação do Sistema</b><br/>Exclui cópias sombra e desativa serviços de backup.”] class tech_inhibit_recovery action tech_service_stop[“<b>Técnica</b> – <b>T1489 Parada de Serviço</b><br/>Interrompe serviços de segurança e backup.”] class tech_service_stop action tech_disk_wipe[“<b>Técnica</b> – <b>T1561 Limpeza de Disco</b><br/>Interrompe serviços e pode ativar o modo de limpeza para destruir dados.”] class tech_disk_wipe action %% Nós de Ferramentas tool_nlbrute[“<b>Ferramenta</b> – <b>Nome</b>: NLBrute<br/><b>Descrição</b>: Força bruta em serviços RDP e SMB.”] class tool_nlbrute tool tool_mimikatz[“<b>Ferramenta</b> – <b>Nome</b>: Mimikatz<br/><b>Descrição</b>: Captura credenciais da memória e SAM.”] class tool_mimikatz tool tool_kportscan[“<b>Ferramenta</b> – <b>Nome</b>: KPortScan<br/><b>Descrição</b>: Escaneia portas em hosts remotos.”] class tool_kportscan tool tool_adv_port_scanner[“<b>Ferramenta</b> – <b>Nome</b>: Advanced Port Scanner<br/><b>Descrição</b>: Enumera portas abertas e serviços.”] class tool_adv_port_scanner tool tool_new_exe[“<b>Ferramenta</b> – <b>Nome</b>: 5u2011NS new.exe<br/><b>Descrição</b>: Scanner personalizado para enumeração de hosts.”] class tool_new_exe tool tool_powershell_cmd[“<b>Ferramenta</b> – <b>Nome</b>: PowerShell Setu2011MpPreference<br/><b>Descrição</b>: Desativa funções do Windows Defender.”] class tool_powershell_cmd tool tool_confuserex[“<b>Ferramenta</b> – <b>Nome</b>: ConfuserEx<br/><b>Descrição</b>: Ofuscador .NET usado em binário de ransomware.”] class tool_confuserex tool tool_shellexecute[“<b>Ferramenta</b> – <b>Nome</b>: ShellExecuteA API<br/><b>Descrição</b>: Executa arquivos via binários do sistema.”] class tool_shellexecute tool tool_vssadmin[“<b>Ferramenta</b> – <b>Nome</b>: vssadmin<br/><b>Descrição</b>: Exclui Cópias de Sombra de Volume.”] class tool_vssadmin tool tool_wbadmin[“<b>Ferramenta</b> – <b>Nome</b>: wbadmin<br/><b>Descrição</b>: Desativa serviços de backup.”] class tool_wbadmin tool tool_bcdedit[“<b>Ferramenta</b> – <b>Nome</b>: bcdedit<br/><b>Descrição</b>: Modifica dados de configuração de inicialização.”] class tool_bcdedit tool %% Conexões entre técnicas tech_bruteforce u002du002d>|leads_to| tech_exploit_remote tech_exploit_remote u002du002d>|leads_to| tech_cred_dump tech_cred_dump u002du002d>|leads_to| tech_discovery tech_discovery u002du002d>|leads_to| tech_rdp_lateral tech_rdp_lateral u002du002d>|leads_to| tech_powershell tech_powershell u002du002d>|leads_to| tech_obfuscation tech_obfuscation u002du002d>|leads_to| tech_proxy_exec tech_proxy_exec u002du002d>|leads_to| tech_persistence tech_persistence u002du002d>|leads_to| tech_event_trigger tech_event_trigger u002du002d>|leads_to| tech_encryption tech_encryption u002du002d>|leads_to| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|leads_to| tech_service_stop tech_service_stop u002du002d>|leads_to| tech_disk_wipe %% Uso de ferramenta na técnica tech_bruteforce u002du002d>|uses| tool_nlbrute tech_cred_dump u002du002d>|uses| tool_mimikatz tech_discovery u002du002d>|uses| tool_kportscan tech_discovery u002du002d>|uses| tool_adv_port_scanner tech_discovery u002du002d>|uses| tool_new_exe tech_powershell u002du002d>|uses| tool_powershell_cmd tech_obfuscation u002du002d>|uses| tool_confuserex tech_proxy_exec u002du002d>|uses| tool_shellexecute tech_inhibit_recovery u002du002d>|uses| tool_vssadmin tech_inhibit_recovery u002du002d>|uses| tool_wbadmin tech_inhibit_recovery u002du002d>|uses| tool_bcdedit “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) que visa acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:
    O adversário obteve privilégios administrativos locais em uma estação de trabalho comprometida. Para coletar credenciais, eles soltam um arquivo batch personalizado chamado !start.bat no mesmo diretório que mimikatz.exe. O arquivo batch simplesmente lança o mimikatz com os comandos privilege::debug and sekurlsa::logonpasswords . Ao invocar o arquivo batch a partir de um prompt do PowerShell, a linha de comando registrada pelo Evento 4688 conterá a string literal !start.bat, satisfazendo a condição de detecção.

  • Script de Teste de Regressão:

    # ---------------------------------------------------------
# Configuração: cria um diretório temporário e coloca o mimikatz
# ---------------------------------------------------------
$tempDir = "$env:TEMPmimikatz_test"
New-Item -ItemType Directory -Force -Path $tempDir | Out-Null

# Presume-se que mimikatz.exe esteja disponível em C:Toolsmimikatz.exe
Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force

# ---------------------------------------------------------
# Cria o script batch personalizado !start.bat
# ---------------------------------------------------------
$batPath = Join-Path $tempDir "!start.bat"
@'
@echo off
"mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
'@ | Set-Content -Path $batPath -Encoding ASCII

# ---------------------------------------------------------
# Execute o script batch (esta é a etapa que deve ocorrer)
# ---------------------------------------------------------
$cmd = "cmd.exe /c `"$batPath`""
Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow

# ---------------------------------------------------------
# Aguarde um curto período para garantir que o evento seja registrado
# ---------------------------------------------------------
Start-Sleep -Seconds 5

  • Comandos de Limpeza:

    # Remove o diretório temporário e todos os artefatos
Remove-Item -Path $tempDir -Recurse -Force

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente