Ransomware HardBit

Publicado hace 8 meses 01-10-2025

Un grupo de ransomware llamado HardBit ha ganado notoriedad en estos meses debido a su contaste evolución y el impacto de su ataque. Detectado por primera vez en octubre de 2022, este ransomware se ha consolidado como una herramienta de extorsión digital con motivaciones exclusivamente económicas, operando bajo el modelo de doble extorsión. Su objetivo principal es generar ingresos mediante el cifrado de archivos y la presión psicológica sobre las víctimas, sin recurrir a la publicación de los datos comprometidos, como hacen la mayoría de los grupos de ransomware. En lugar de eso, HardBit amenaza con continuar atacando a las víctimas si no se paga el rescate, lo que genera un estado de vulnerabilidad constante en las organizaciones afectadas. 

 

Una de las características más distintivas de HardBit es el uso de técnicas avanzadas, diseñadas para dificultar el análisis e investigación de seguridad. El ransomware ha tenido diferentes evoluciones y versiones a través de los años, pero la versión actual 4.0 se diferencia de las versiones anteriores, porque requiere de una contraseña específica para la ejecución del ransomware, lo que impide que se corra sin autorización previa. Esta técnica complica enormemente los esfuerzos de ingeniería inversa y análisis forense. Además, HardBit no opera un sitio de filtración de datos, lo que lo diferencia de otros grupos como LockBit o BlackSuit, y refuerza su enfoque en la extorsión directa. 

 

Utiliza como vector de acceso inicial ataques de fuerza bruta contra servicios RDP y SMB para infiltrarse en los sistemas. Una vez dentro, emplean herramientas como Mimikatz para robar credenciales, y utilizan Advanced Port Scanner para realizar un reconocimiento de red. Esto les permite moverse lateralmente a través de la infraestructura comprometida, accediendo a más sistemas y aumentando el alcance del ataque. El grupo también cifra los archivos mediante Neshta, pero antes HardBit desactiva Microsoft Defender y otros antivirus, finaliza procesos y servicios críticos para evitar la detección y dificultar la recuperación del sistema. Luego, cifra los archivos, cambia sus íconos, modifica el fondo de pantalla del escritorio y deja una nota de rescate en donde explica que todos los archivos han sido robados y encriptados por el grupo, piden un pago de rescate para recuperar los archivos y explican como comunicarse con el grupo para concretar y negociar el pago. 

 

Captura de pantalla de la Figura 3. La nota de rescate de HardBit. 

Nota de rescate del ransomware HardBit [1] 

 

La comunicación y negociación del pago de resta con las víctimas se realiza a través de Tox un servicio de mensajería cifrada que permite a los atacantes mantener el anonimato y evitar el rastreo. Esta estrategia de comunicación, junto con la ausencia de un sitio de filtración de datos, refuerza el enfoque directo y personalizado de HardBit. En términos de desarrollo y funcionamiento, HardBit se encuentra a la altura de grandes grupos de ransomware y su evolución constante lo convierte en una amenaza persistente y en crecimiento dentro del panorama de la ciberseguridad. 

 

Taxonomía  

Tactic 

ID 

Name 

Initial Access 

T1566 

Phishing 

T1078 

Valid Accounts 

T1190 

Exploit Public-Facing Application 

Execution 

T1059 

Command and Scripting Interpreter 

T1204 

User Execution 

Persistence 

T1543 

Create or Modify System Process 

T1053 

Scheduled Task/Job 

Privilege Escalation 

T1003 

Credential Dumping 

T1110 

Brute Force 

Defense Evasion 

T1036 

Masquerading 

Discovery  

T1135 

Network Share Discovery 

T1027 

Obfuscated Files or Information 

 Lateral Movement 

T1021 

Remote Services 

T1021.001 

Remote Services — RDP 

Exfiltration  

T1041 

Exfiltration Over C2 Channel 

T1074 

Data Staged 

Impact 

T1486 

Data Encrypted for Impact 

T1490 

Inhibit System Recovery 

 

Indicadores de compromiso

IOC 

Tipo 

0a760305d9bf23d42dbd8ddc786908b6 

MD5 

2545129335dbd7263bc3b3337f919fd6 

MD5 

262d0c43b9204fdfc4a575bc85d7f019 

MD5 

4563a3d29574740f60a4d2ca0d6ee263 

MD5 

5a9ece853305022172ea59f17802bca4 

MD5 

5b5415d4895b7da6f4d8c2a8efa1d06a 

MD5 

75804319cddfb798b3859cb757296f6e 

MD5 

9c0c533ea13174d1308ff3804efa167f 

MD5 

9c1ceb62612af0c495f515d3afac8150 

MD5 

A03B0577B88F988B0D9C34EF8A504DDD 

MD5 

ad7e9843924c9f38a70b994fe105ceb9 

MD5 

dd86e2d1c9d036b79eae88eb6ec2ef40 

MD5 

dfd6177cd181f2c8cd9b2bd088a192ba 

MD5 

E047afbcbb811B7DB0D69A0FA0DB236F 

MD5 

e8f42e43ec16d9d5ca97d04c4a7fc88c 

MD5 

fd6f36f4679ad49fc90b8bd1d72dfefb 

MD5 

4de4621da1b7da597c2c8def4c08b8d405672dadb9c70d7dffd647c8d6abd394 

SHA256 

D18453E564CA27514227478F225D85811FE15D08AA5FB1F613022C43155C5C54 

SHA256 

1973990530feba052d3efb2e6a378347 

MD5 

3191feae778309eb99df4e4e25c62f1a 

MD5 

C0DAB26A6F40CFD75FCE1C938A4E15FD 

MD5 

cb239d641cfa610b1eaf0ecd0f48c42dd147f547b888e4505297c4e9521d8afe 

SHA256 

 

 

Recomendaciones

  • Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

  • Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

  • Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

  • Limitar estrictamente el uso de los protocolos SMB y RDP. 

  • Realizar auditorías de seguridad. (NIST CSF, 2024) 

  • Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

  • Tener filtros de correo electrónico y spam. 

  • Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

  • Realizar copias de seguridad, respaldos o back-ups constantemente. 

  • Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

  • Revisar continuamente los privilegios de los usuarios. 

  • Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

  • Habilitar la autenticación multifactor. 

Referencias

  1. The Hacker News. (2024, Julio 15). New HardBit Ransomware 4.0 Uses Passphrase Protection to Evade Detection. Recuperado el 30 de septiembre de 2025, en: https://thehackernews.com/2024/07/new-hardbit-ransomware-40-uses.html 

  2. Hemant, K. (2024, Julio 15). HardBit 4.0 ransomware launches with advanced passphrase protection. Candid.Technology. Recuperado el 30 de septiembre de 2025, en: https://candid.technology/hardbit-4-0-ransomware-advanced-passphrase-protection/ 

  3. Ransomware roundup — HardBit 2.0 | FortiGuard Labs. (2023, Marzo 16). Fortinet Blog. Recuperado el 30 de septiembre de 2025, en: https://www.fortinet.com/blog/threat-research/fortiguard-labs-ransomware-roundup 

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026

Microsoft ha publicado detalles sobre una vulnerabilidad de alta severidad en SharePoint Server que puede permitir la ejecución remota de código y comprometer entornos empresariales que usan implementaciones on‑premises. Registrada como CVE-2026-45659 y catalogad......

Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026

TeamPCP es un grupo presente desde 2025, el cual se especializa en infraestructura en la nube. Se enfoca en ejecutar ataques a cadena de suministro en varias etapas, adaptándose a los diferentes sistemas. El grupo ha conseguido afectar ecosistemas completos, así com......

Campaña de Phishing a través de Teams (Orígenes externos)
Publicado hace 3 semanas 26-05-2026

...

BOLETINES RECIENTES

...
ShinyHunters explota zero-day en Oracle PeopleSoft (CVE-2026-35273) y filtra datos de instituciones educativas
Publicado hace 1 día 16-06-2026
Leer más
...
Vulnerabilidad Alta en Microsoft Sharepoint Server
Publicado hace 2 semanas 29-05-2026
Leer más
...
Grupo TeamPCP
Publicado hace 2 semanas 29-05-2026
Leer más