Scoperto la prima volta nell’ottobre 2022 e aggiornato poi con una seconda versione nel novembre dello stesso anno, la minaccia ransomware Hardbit presenta dei retroscena criminali interessanti sulla gestione della richiesta di riscatto: il malware, infatti, avvia una vera e propria negoziazione con la vittima cercando di convincerla che il pagamento estorsivo verrà successivamente “coperto” dalla compagnia assicurativa.
Indice degli argomenti
Il ransomware Hardbit non ha un sito di data leak
Come la maggior parte delle minacce malware di questo tipo, anche Hardbit, al primo ingresso nella rete della vittima, esfiltra dati sensibili in chiaro. Questo passaggio avviene prima di far partire il payload che si occuperà della crittografia. Tuttavia è stato rilevato da una ricerca di Varonis, che al gruppo non appartiene un “data leak site”, il sito Web che normalmente le cyber gangs utilizzano per esporre le proprie vittime ed eventualmente diffondere quanto rubato dai propri storage.
La minaccia viene comunque portata avanti anche sulla base di una futura rivendicazione e diffusione dei dati rubati, nonché di utilizzo di tali dati per l’esecuzione di ulteriori attacchi mirati, presumibilmente tramite vendita a terzi attori malevoli e/o altri gruppi criminali.
Inoltre, una volta avviata la crittografia, i file non vengono copiati, crittografati e poi eliminate le copie non crittografate, come avviene in diversi ceppi ransomware. Hardbit elimina le copie shadow dei file e attua la crittografia sovrascrivendo direttamente i file originali, risparmiando così tempi di calcolo.
A questo punto, il malware rinomina i file crittografati assegnando al nome un indirizzo email di contatto e l’estenzione “.hardbit2”. Depositando, inoltre, in ogni cartella contenente file crittografati, una nota di riscatto in file di testo e la stessa copia anche in HTML.
Il ransomware e la negoziazione del riscatto
Alcuni casi studiati dai ricercatori hanno fatto emergere come gli operatori malevoli, dietro la minaccia Hardbit, non lancino l’attacco con un’idea fissa di importo di riscatto. Infatti è utile sottolineare che nella nota di riscatto lasciata tra i file compromessi, nel computer della vittima, non è presente alcun importo. Quest’ultima viene semplicemente invitata a prendere parte ad una conversazione tramite software di messaggistica privato (Tox).
In questa conversazione viene avviata una vera e propria negoziazione, nella quale si costruisce l’importo che verrà poi richiesto come riscatto. Hardbit chiede il supporto della vittima, in questa fase, per effettuare un’azione con maggiore grado di convincimento. Quando infatti scopre che la vittima ha in essere una polizza assicurativa a copertura di danni causati dal ransomware, cerca di scoprirne, chiedendone le informazioni alla vittima, i dettagli sulla copertura offerta.
A questo punto, farà una richiesta di riscatto in linea con quanto stabilito dalla polizza, presumendo e facendo passare alla vittima il messaggio secondo il quale la compagnia, sarà tenuta a coprire e risarcire il danno, con un vantaggio per il gruppo criminale e senza perdita per l’azienda colpita. L’unico debito sarà a questo punto in capo alla compagnia assicurativa che si accollerà tutto l’onere dell’attacco.
Non ci sono inoltre prove che trattative di questo genere siano effettivamente già andate a buon fine né di pratiche di risarcimento effettuate da eventuali compagnie assicurative. Tuttavia, è un metodo decisamente innovativo, nello scenario criminale, per la richiesta di un riscatto.
Il gruppo criminale guida tale conversazione offrendosi come esperto di contratti assicurativi, ma tuttavia bisogna tener presente che il gruppo criminale non è la compagnia assicuratrice e che quest’ultima, può voler fare tutte le verifiche del caso prima di liquidare un risarcimento economico.
Una delle clausole del “contratto”, severamente punite, è proprio quella che prevede di non far trapelare dettagli di polizza a terzi.
