HardBit 4.0 usa RDP e SMB abertos e dropper Neshta para persistência | Cyber ataques

Pesquisadores da Picus Security relataram o HardBit 4.0, que usa força bruta em RDP/SMB e o dropper Neshta para entregar e persistir o ransomware. A variante altera o Registro para desativar proteções do Windows Defender, usa ofuscação e exige uma passphrase em tempo de execução; recomendações incluem monitorar RDP/SMB e manter backups isolados.

Analistas da Picus Security identificaram uma nova iteração do ransomware HardBit, referida como HardBit 4.0, que adiciona técnicas para persistência e evasão e emprega um dropper baseado no Ne(s)hta para entregar o payload, conforme reportado pelo Cyber Security News.

Descoberta e escopo

O relatório citado descreve o HardBit 4.0 como uma evolução de uma família ativa desde 2022. Pesquisadores apontam que a cadeia de ataque começa com tentativas de acesso via força bruta contra serviços abertos de Remote Desktop Protocol (RDP) e Server Message Block (SMB).

Vetor e exploração

Segundo o texto, os operadores obtêm acesso inicial explorando RDP/SMB expostos e focam em coleta de credenciais para movimento lateral. A entrega do ransomware é realizada por meio do Neshta, um vírus infectador de arquivos com histórico desde 2003 que, no caso descrito, passou a funcionar como dropper específico do HardBit 4.0.

Persistência e mecanismos técnicos

O dropper descrito opera em múltiplas etapas: lê seu próprio binário, extrai o payload do HardBit a partir de offsets de memória, decripta cabeçalho e corpo, grava o binário reconstruído no diretório temporário e o executa usando funções legítimas do Windows. Para persistência, o Neshta copia-se para a raiz do sistema como arquivo oculto e altera chaves de registro de forma a fazer com que, ao executar qualquer arquivo executável, o malware seja executado primeiro.

Evasão e defesa

HardBit 4.0 emprega técnicas agressivas de evasão: o malware modifica múltiplas entradas do Registro do Windows para desativar funcionalidades do Windows Defender — incluindo Real‑Time Monitoring, Tamper Protection e Anti‑Spyware — e o binário é ofuscado com uma versão modificada do protector ConfuserEx. Também foi relatado um mecanismo de proteção por passphrase que exige chaves de autorização em tempo de execução, com o objetivo declarado de evitar que sandboxes detonem automaticamente o malware.

Impacto e recomendações práticas

O relatório sugere monitoramento rigoroso de atividade em RDP e SMB, melhores práticas de gestão de credenciais e manutenção de backups isolados da rede para recuperação. Não há no artigo dados públicos sobre número de vítimas, setores afetados ou casos de extorsão vinculados à versão 4.0; as conclusões técnicas são baseadas na análise da cadeia de entrega e nas capacidades observadas pelo time da Picus Security.

Limitações nas informações

O material não traz indicadores de comprometimento (IOCs) completos, amostras técnicas ou declarações de vítimas. Para equipes de resposta a incidentes e CISOs, isso significa que a observabilidade e a correlação com telemetrias internas devem ser priorizadas antes de atribuir incidentes a esta variante.