Les pirates incitent les compagnies de cyberassurance à divulguer le montant de l’assurance pour que le dialogue aboutisse. De plus, les pirates font croire que le partage des informations relatives à l’assurance est bénéfique pour la victime, en faisant passer l’assureur pour le méchant qui fait obstacle à la récupération de ses données. Les acteurs de la menace affirment que les assureurs ne négocient jamais avec les acteurs du ransomware en gardant à l’esprit les intérêts de leurs clients, et qu’ils font donc des contre-offres à leurs demandes uniquement pour faire dérailler les négociations et refuser de payer.

Un élément intéressant concernant la phase de cryptage est qu’au lieu d’écrire les données cryptées sur des copies de fichiers et de supprimer les originaux comme le font de nombreuses souches, HardBit 2.0 ouvre les fichiers et écrase leur contenu avec des données cryptées. Cette approche rend plus difficile la récupération des fichiers originaux par les experts et rend le cryptage légèrement plus rapide.

Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit : "À l’origine, les cyberassurances étaient uniquement destinées à couvrir les frais de reprise d’activité des victimes. Cependant, les groupes de ransomware ont exploité ce modèle en soutirant indirectement aux compagnies d’assurance le paiement de rançons astronomiques. Les attaques de HardBit montrent que les groupes de rançongiciels vont plus loin et "innovent". D’autre part, ce qui rend l’approche d’HardBit encore plus pénalisante est le fait qu’il ne supprime pas les fichiers originaux des victimes, mais les ouvre et écrase leur contenu avec les données chiffrées."