HardBit勒索软件团伙调整他们的要求，以便保险公司支付赎金费用

HardBit 勒索软件组于2022年10月首次出现在威胁格局中，但与其他勒索软件操作不同的是，它此时并未使用双重勒索模型。

如果他们的赎金要求得不到满足，该团伙就会威胁受害者进行进一步的袭击。一旦感染了组织的网络，HardBit 勒索软件组就会指示受害者通过电子邮件或通过 Tox 即时消息平台与他们联系。

该组织成为头条新闻是因为它寻求与受害者谈判以达成和解。

他会不惜一切代价破坏谈判，拒绝全额赔付我们，让你一个人解决你的问题。如果您匿名告诉我们您的公司投保了 1000 万美元以及其他有关保险范围的重要细节，我们不会在与保险代理人的通信中要求超过 1000 万美元。这样你就可以避免泄漏并解密你的信息。但由于鬼鬼祟祟的保险代理人故意谈判不支付保险索赔，因此在这种情况下只有保险公司获胜。为避免这一切并获得保险金，请务必匿名告知我们保险范围的可用性和条款，这对您和我们都有好处，但对保险公司没有好处。

它要求受害者分享其网络保险政策的详细信息，以便保险公司完全承担赎金费用。

通过向勒索软件组透露确切的保险金额，骗子可以阻止保险公司协商降低赎金。显然，保险公司的客户有合同义务不向勒索软件团伙披露这笔金额。

“该组织没有在赎金单中指定要求的比特币数量，而是寻求与受害者谈判以达成和解。值得注意的是，作为这些谈判的一部分，还鼓励拥有网络保险政策的受害者与 HardBit 分享详细信息，以便调整他们的要求以符合政策要求。”。

为了使受害者无法恢复加密文件，勒索软件使用服务控制管理器和 Windows 备份实用程序目录删除卷影复制服务 (VSS) 以及任何卷影副本。

研究人员注意到，该恶意软件会加密许多文件，在 Windows 重新启动时可能会导致错误。为了避免在后续启动时出现问题，恶意软件会编辑启动配置以启用“忽略任何故障”选项并禁用恢复选项。

为了防止 Windows Defender Antivirus 阻止勒索软件进程，它对 Windows 注册表进行了多项更改以禁用许多 Windows Defender 功能（即篡改保护、反间谍软件功能、实时行为监控、实时访问（文件）保护、和实时进程扫描）。

勒索软件通过将版本复制到受害者的“启动”文件夹（如果不存在）来实现持久性。可执行文件名模仿合法服务主机可执行文件 svchost.exe，以避免检测。

Varonis 的报告还包括有助于检测恶意软件的危害指标 (IoC)。

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4273.html