HardBit 2.0 est une souche de ransomware assez classique, à ceci près que les hackers ne demandent pas directement à leurs victimes de payer un prix fixe, mais plutôt de leur fournir des informations à propos de leur assurance pour savoir quelle somme est couverte par celle-ci.
Le but avoué des hackers est de savoir quelle somme demander pour obtenir leur argent à coup sûr. Pour ça, ils n'hésitent pas à dépeindre les assureurs auprès de leurs victimes comme des obstacles à de bonnes négociations et à la récupération de leurs données.
Un ransomware presque banal
D'après un rapport de l'entreprise Varonis, HardBit est un ransomware qui a été pour la première fois observé en octobre 2022. Depuis novembre 2022 cependant, le malware a été amélioré, passant à ce qui est désigné comme sa version 2.0, qui est celle actuellement en circulation. HardBit se comporte comme un ransomware classique : il chiffre les fichiers, et le groupe menace de publier les données de ses victimes si la rançon n'est pas payée. Certaines sécurités sont également désactivées sur l'appareil pour éviter la détection.
Malgré tout, il possède quelques particularités. Là où certains ransomwares se contentent d'ajouter les données chiffrées à un nouveau fichier et suppriment l'original, HardBit ouvre les fichiers et les modifie directement, ce qui rend leur récupération plus difficile. De plus, même si les hackers indiquent avoir récupéré des données qu'ils menacent de diffuser, HardBit ne semble pas avoir pour le moment de site dédié à la publication de ces informations. Sa plus grande particularité vient cependant de sa demande de rançon.
L'assurance, élément essentiel de la négociation
Lorsqu'un appareil est infecté par un ransomware, une demande de rançon s'affiche, sur laquelle est parfois indiqué un montant en Bitcoin à payer et des instructions sur comment réaliser le paiement. Il arrive aux hackers d'ajuster le montant demandé, selon s'ils visent des particuliers ou de grandes entreprises. Mais HardBit a choisi une autre approche. Au lieu de demander une somme précise, les hackers invitent les victimes à les contacter sur la messagerie chiffrée Tox dans les 48 heures pour discuter du paiement.
Ils essaient également de convaincre les entreprises qui possèdent une assurance qui les protège en cas d'attaque informatique de leur préciser la somme couverte par cette assurance. D'après eux, grâce à ces informations, ils seraient capables de demander la bonne somme pour forcer les assureurs à payer, et ainsi, les hackers obtiendraient leur argent tandis que les victimes pourraient retrouver leurs fichiers et éviter le risque d'une fuite de données.
Bien entendu, il ne faut jamais faire confiance aux acteurs malveillants. Rien ne dit qu'une fois la somme payée, les données récupérées seront bien supprimées et que la clé de déchiffrement fonctionnera correctement. En cas de ransomware, il ne faut surtout pas payer la rançon ni tenter de négocier avec les attaquants, mais plutôt prévenir les autorités compétentes et prévoir en amont des manières de sécuriser ses données, comme des sauvegardes régulières.
Sources : Neowin, BleepingComputer, Varonis