Eine neue, hochgefährliche Ransomware-Kampagne mit der Schadsoftware HardBit 4.0 rollt über globale Netzwerke. Laut einer aktuellen Warnung von Picus Security zielen die Angreifer gezielt auf ungesicherte Windows-Remote-Dienste ab – eine massive Bedrohung für Unternehmen weltweit.
Angriff auf die digitale Hintertür: RDP und SMB im Visier
Die Sicherheitsforscher schlagen Alarm: Die Cyberkriminellen nutzen automatisierte Brute-Force-Angriffe auf öffentlich erreichbare RDP- und SMB-Ports als Einstiegspunkt. Anders als bei früheren Kampagnen setzen sie nicht auf Phishing, sondern attackieren direkt schwache Infrastruktur-Konfigurationen. Diese Protokolle sind für den Fernzugriff in Unternehmen unverzichtbar, werden aber oft nachlässig gesichert.
„Die Angreifer priorisieren offene RDP- und SMB-Dienste, um einen schwer zu entfernenden Fuß in der Tür zu bekommen“, heißt es im Bericht von Picus Security. Nach dem Eindringen bewegen sie sich mit legitimen Admin-Tools leise durch das Netzwerk, um kritische Assets zu identifizieren, bevor die Verschlüsselung startet. Besonders kleine und mittlere Unternehmen (KMU) sind gefährdet, da ihnen oft die Ressourcen für robuste Perimeter-Defenses wie VPNs oder durchgängige Zwei-Faktor-Authentifizierung fehlen.
Neshta-Virus als Trojanisches Pferd für moderne Erpressungssoftware
Ein besonders beunruhigendes Detail der Kampagne ist der Einsatz des alten Neshta-Virus aus dem Jahr 2003. Die HardBit-Operatoren nutzen ihn als versteckten „Dropper“, um die Ransomware einzuschleusen. Neshta infiziert legitime EXE-Dateien auf dem Opfersystem. Wird eine infizierte Anwendung gestartet, aktiviert sich zuerst Neshta und lädt HardBit 4.0 aus dem Speicher.
„Das Wiederauftauchen von Neshta als Transportmittel für moderne Ransomware zeigt die Anpassungsfähigkeit dieser Bedrohungsakteure“, erklärt ein Senior Threat Researcher. Die Methode umgeht viele signaturbasierte Virenscanner, die Neshta längst nicht mehr als kritische Gefahr einstufen. Der Dropper sichert zudem Persistenz über Neustarts hinweg, was eine Bereinigung des Systems extrem erschwert.
Raffinierte Tarnung: Passwortschutz und Registry-Manipulation
HardBit 4.0 setzt auf ausgeklügelte Verschleierungstaktiken. Eine „Passphrase Protection“ verhindert die Ausführung in analysierenden Sandboxes: Nur mit einem speziellen Autorisierungsschlüssel startet die Verschlüsselungsroutine. Ohne ihn bleibt die Malware harmlos.
Ist sie einmal aktiv, deaktiviert sie systematisch die Verteidigung des Systems. Sie manipuliert Windows-Registry-Einträge, um Windows Defender’s Echtzeitüberwachung, Tamper Protection und Anti-Spyware-Funktionen abzuschalten. Zusätzlich verschleiert ein eigener ConfuserEx-Protector den Code und erschwert die Reverse-Engineerung massiv.
Strategiewechsel: Fokus auf Verschlüsselung statt Doppelerpressung
HardBit 4.0 bricht mit dem aktuellen Trend der „Double Extortion“. Gruppen wie LockBit erpressen ihre Opfer doppelt: durch Verschlüsselung und die Drohung, gestohlene Daten zu veröffentlichen. HardBit verzichtet hingegen auf eine öffentliche Leak-Site. Die Erpresser setzen allein auf den operativen Stillstand des Opfers.
In den Lösegeldforderungen werden Betroffene aufgefordert, über den Messenger Tox oder verschlüsselte E-Mail-Dienste Kontakt aufzunehmen. „Dieses Vorgehen sollte nicht als mangelnde Raffinesse missverstanden werden“, so ein europäischer Cybersicherheits-Analyst. „Sie reduzieren Infrastrukturkosten und Komplexität. Ihre Hebelwirkung ist schlicht die Verfügbarkeit Ihrer Daten.“ Für Opfer entfällt zwar die Meldepflicht bei Datendiebstahl, was stille Zahlungen verlockender machen könnte – eine Praxis, die Behörden weltweit strikt ablehnen.
Hintergrund: Warum die Timing und Taktik so gefährlich sind
Das Timing der Kampagne kurz vor den Weihnachtsfeiertagen ist wohl kalkuliert: Security Operations Center (SOCs) sind oft unterbesetzt, was Angreifern ein längeres, unentdecktes Verweilen im Netz ermöglicht. Der Fokus auf RDP und SMB zeigt, dass die Täter nach „low-hanging fruit“ suchen – nach Unternehmen, die die Grundhygiene ihrer Fernzugänge vernachlässigen.
Im Vergleich zu den spektakulären Zerschlagungen anderer Ransomware-Gruppen in diesem Jahr agierte HardBit bisher eher im Verborgenen. Diese neue, aggressive Kampagne könnte sie nun ins Rampenlicht von Behörden wie Europol rücken.
Ausblick und dringende Handlungsempfehlungen
Experten erwarten, dass die von HardBit 4.0 perfektionierten Taktiken 2026 von anderen Ransomware-Gruppen kopiert werden. Der Erfolg der Anti-Analyse-Features wird Nachahmer anlocken.
Für Unternehmen gibt es nur eine Priorität: Alle Fernzugriffsdienste sofort absichern. Picus Security rät dringend:
* RDP von öffentlich erreichbaren IP-Adressen zu deaktivieren.
* Multi-Faktor-Authentifizierung (MFA) für alle Remote-Verbindungen zu erzwingen.
* Sicherzustellen, dass Offline-Backups unveränderlich (immutable) sind.
„Die HardBit 4.0-Kampagne ist eine ernüchternde Erinnerung, dass die Cybersicherheits-Grundlagen nicht ignoriert werden dürfen“, schließt der Picus-Bericht. „Ein ungesicherter RDP-Port im Jahr 2025 ist praktisch eine offene Tür für Ransomware.“ Die Branche rechnet mit weiteren Verfeinerungen der Malware, möglicherweise mit KI-gesteuerten Skripten für noch schnelleres Durchdringen von Netzwerken. Wachsamkeit und aktuelle Threat-Intelligence sind überlebenswichtig.
