套路千千万,唯独这家很特殊,一个新型勒索软件组织的攻击策略竟是离间受害者与保险公司。
据Security Affairs 2月21日消息,于去年10月出现的名为HardBit的勒索软件组织试图通过这一策略,让受害者的保险公司承担勒索赎金。
在HardBit勒索软件看来,遭受勒索攻击后,受害者的保险公司大多会以各种理由推脱,拒绝足额赔付,如果受害者能够与HardBit分享保险范围的可用性和条款,便能合伙商量如何让保险公司足额赔付,赎金金额不会超过受害者的投保金额。这样让看似受损的只有保险公司。
可见,该策略的核心是防止保险公司协商降低赔付赎金,在表面上拉拢受害者的同时让自身的经济利益最大化。
但同样的,为了防止受害者恢复加密文件,该勒索软件使用服务控制管理器和Windows备份工具目录删除了卷影复制服务(VSS)以及任何影子副本。
研究人员注意到,该恶意软件会加密许多文件,在 Windows 重新启动时可能会导致错误。为了避免在后续启动时出现问题,恶意软件会编辑启动配置以启用“忽略任何故障”选项并禁用恢复选项。
为了防止 Windows Defender Antivirus 阻止勒索软件进程,它对 Windows 注册表进行了多项更改以禁用许多 Windows Defender 功能(即篡改保护、反间谍软件功能、实时行为监控、实时访问(文件)保护、和实时进程扫描)。勒索软件还会将软件副本复制到受害者的“启动”文件夹(如果不存在)来实现持久性,可执行文件名会模仿合法服务主机可执行文件 svchost.exe,以避免检测。
参考来源:HardBit ransomware gang adjusts their demands so the insurance company would cover the ransom cost