網(wǎng)絡(luò)安全研究人員周二披露了 Hades 勒索軟件運營商采用的“獨特”策略、技術(shù)和程序 (TTP),使其與其他同類軟件區(qū)別開來,并將其歸因于一個名為 GOLD WINTER 的出于經(jīng)濟動機的黑客組織。
SecureWorks Counter Threat Unit (CTU) 的研究人員在一份報告https://www.secureworks.com/blog/hades-ransomware-operators-use-distinctive-tactics-and-infrastructure中表示:“在許多方面,GOLD WINTER 黑客組織是典型的”侵入后勒索軟件(post-intrusion ransomware)“勒索軟件組織,他們追求高價值目標(biāo),以最大限度地從受害者那里勒索贖金。然而,GOLD WINTER 的運營有一些怪癖,這將它與其他組織區(qū)分開來。”
這些發(fā)現(xiàn)來自于這家總部位于亞特蘭大的網(wǎng)絡(luò)安全公司在2021年第一季度進行的一項事件響應(yīng)研究。
根據(jù) Crowdstrike 的說法,自 2020 年 12 月首次出現(xiàn)在黑客領(lǐng)域以來,Hades 已被歸類為 老牌網(wǎng)絡(luò)犯罪集團INDRIK SPIDER開發(fā)的WastedLocker 勒索軟件的迭代產(chǎn)品,Hades具有額外的代碼混淆和細微的功能更改。INDRIK SPIDER也被稱為 GOLD DRAKE 和 Evil Corp,是一個復(fù)雜的網(wǎng)絡(luò)犯罪集團,因在 2017 年至 2020 年期間運營名為 Dridex 的銀行木馬以及傳播 BitPaymer 勒索軟件而臭名昭著。
根據(jù)埃森哲網(wǎng)絡(luò)調(diào)查和取證響應(yīng) (CIFR) 和網(wǎng)絡(luò)黑客情報 (ACTI) 團隊的研究,截至 2021 年 3 月下旬,WastedLocker 迭代的勒索軟件已經(jīng)影響了至少三家公司,其中包括一家美國運輸和物流公司組織、美國消費品組織和全球制造組織。早在 2020 年 12 月,貨運巨頭 Forward Air 就被攻擊過。2020年12月15日,F(xiàn)orward Air Corporation檢測到一個勒索軟件事件,影響了其運營和信息技術(shù)系統(tǒng),導(dǎo)致許多客戶的服務(wù)延遲。在發(fā)現(xiàn)該事件后,公司立即啟動響應(yīng)協(xié)議,展開調(diào)查,并聘請網(wǎng)絡(luò)安全和取證專業(yè)人員提供服務(wù)。這次攻擊背后的Hades勒索軟件團伙大約在一周前開始以人工攻擊企業(yè)的方式開始運作。
加密受害者的文件時,攻擊者將創(chuàng)建一個名為“HOW-TO-DECRYPT- [extension] .txt”的贖金通知,該通知與REvil勒索軟件的類似,隨后,Awake Security 發(fā)布的一項分析提出了高級黑客攻擊者可能以 Hades 為幌子進行操作的可能性,引用了 Hafnium 域,該域被確定為 Hades 攻擊時間線內(nèi)的攻擊指標(biāo)。Hafnium是今年早些時候?qū)σ资芄舻?Exchange 服務(wù)器發(fā)起的 ProxyLogon 攻擊的幕后黑手。
Secureworks 表示,該黑客組織使用與其他勒索軟件運營商無關(guān)的 TTP,表示地下黑市和市場中沒有 Hades 可能意味著 Hades 作為自定義勒索軟件而不是勒索軟件即服務(wù) (RaaS) 運營。
GOLD WINTER 的目標(biāo)是虛擬專用網(wǎng)絡(luò)和遠程桌面協(xié)議,以獲得初始立足點并保持對受害環(huán)境的訪問,使用它通過 Cobalt Strike 等工具實現(xiàn)持久性。研究人員說,在一個示例中,攻擊者將 Cobalt Strike 可執(zhí)行文件偽裝成 CorelDRAW 圖形編輯器應(yīng)用程序,以掩蓋文件的攻擊屬性。
在第二個示例中,Hades 被發(fā)現(xiàn)利用 SocGholish 惡意軟件(通常與 GOLD DRAKE 組織相關(guān))作為初始訪問媒介。在這種攻擊中,用戶被誘騙訪問受感染的網(wǎng)站,使用社會工程主題模擬瀏覽器更新以在沒有用戶干預(yù)的情況下觸發(fā)惡意下載。
Hades復(fù)制了其他競爭組織(如 REvil 和 Conti)的贖金票據(jù)的模式。
另一種新技術(shù)涉及使用 Tox 即時消息服務(wù)進行通信,更不用說使用為每個受害者量身定制的基于 Tor 的網(wǎng)站,而不是利用集中式泄漏網(wǎng)站來暴露從受害者那里竊取的數(shù)據(jù)。每個網(wǎng)站都包含一個特定于受害者的 Tox 聊天 ID,用于通信。
勒索軟件組織通常是投機取巧的,他們瞄準(zhǔn)任何可能受到勒索并可能支付贖金的組織。然而,GOLD WINTER 對北美大型制造商的攻擊表明,該集團是一個專門尋找高價值目標(biāo)的組織。