SOC Prime Bias: Alto

29 Dec 2025 08:37 UTC

HardBit 4.0: Análise de Ransomware e Principais Descobertas

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
HardBit 4.0: Análise de Ransomware e Principais Descobertas
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

HardBit 4.0 é uma variante de ransomware que utiliza o infector de arquivos Neshta como seu carregador e é entregue tanto em versões de CLI quanto de GUI. Ao contrário de muitas equipes modernas, não está vinculado a um portal de vazamento de dupla extorsão e pode incluir uma capacidade opcional de “Wiper” projetada para danificar dados irreversivelmente. A execução é condicionada por um ID de autorização em tempo de execução e uma chave de criptografia, efetivamente adicionando um controle de estilo de senha antes de a criptografia começar.

Investigação

A avaliação sugere que o acesso inicial ocorre comumente através de atividades de força bruta de RDP usando a ferramenta NLBrute, seguido por coleta de credenciais via Mimikatz. O movimento lateral é então realizado sobre RDP com as credenciais roubadas, apoiado por utilitários de descoberta e varredura, como KPortScan 3.0 e Advanced Port Scanner. Neshta é usado para soltar o ransomware no diretório %TEMP% e persistir alterando o registro para que o malware seja invocado sempre que qualquer .exe for lançado.

Mitigação

Exija senhas fortes e exclusivas para contas habilitadas para RDP e reduza a exposição externa ao RDP sempre que possível. Fique atento a mudanças de registro associadas à adulteração do Windows Defender e ao svchost.com mecanismo de persistência. Implemente listas de permissão de aplicativos e controles comportamentais para detectar ou bloquear o uso não autorizado de Mimikatz e ferramentas de varredura de rede.

Resposta

Se atividade suspeita for encontrada, isole o host, capture evidências voláteis e pare o processo de ransomware. Recupere os dados afetados somente de backups confiáveis após confirmar que o ator da ameaça foi totalmente removido. Complete a validação forense revisando modificações de registro, tarefas agendadas e quaisquer artefatos de despejo de credenciais.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-voo de Telemetria & Base deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) que visa acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa & Comandos do Ataque:
    O adversário obteve privilégios administrativos locais em uma estação de trabalho comprometida. Para coletar credenciais, eles soltam um arquivo batch personalizado chamado !start.bat no mesmo diretório que mimikatz.exe. O arquivo batch simplesmente lança o mimikatz com os comandos privilege::debug and sekurlsa::logonpasswords . Ao invocar o arquivo batch a partir de um prompt do PowerShell, a linha de comando registrada pelo Evento 4688 conterá a string literal !start.bat, satisfazendo a condição de detecção.

  • Script de Teste de Regressão:

    # ---------------------------------------------------------
    # Configuração: cria um diretório temporário e coloca o mimikatz
    # ---------------------------------------------------------
    $tempDir = "$env:TEMPmimikatz_test"
    New-Item -ItemType Directory -Force -Path $tempDir | Out-Null
    
    # Presume-se que mimikatz.exe esteja disponível em C:Toolsmimikatz.exe
    Copy-Item -Path "C:Toolsmimikatz.exe" -Destination $tempDir -Force
    
    # ---------------------------------------------------------
    # Cria o script batch personalizado !start.bat
    # ---------------------------------------------------------
    $batPath = Join-Path $tempDir "!start.bat"
    @'
    @echo off
    "mimikatz.exe" "privilege::debug" "sekurlsa::logonpasswords" exit
    '@ | Set-Content -Path $batPath -Encoding ASCII
    
    # ---------------------------------------------------------
    # Execute o script batch (esta é a etapa que deve ocorrer)
    # ---------------------------------------------------------
    $cmd = "cmd.exe /c `"$batPath`""
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c `"$batPath`"" -WorkingDirectory $tempDir -NoNewWindow
    
    # ---------------------------------------------------------
    # Aguarde um curto período para garantir que o evento seja registrado
    # ---------------------------------------------------------
    Start-Sleep -Seconds 5
  • Comandos de Limpeza:

    # Remove o diretório temporário e todos os artefatos
    Remove-Item -Path $tempDir -Recurse -Force