網(wǎng)絡(luò)安全研究人員周二披露了 Hades 勒索軟件運(yùn)營(yíng)商采用的“獨(dú)特”策略、技術(shù)和程序 （TTP），使其與其他同類軟件區(qū)別開來(lái)，并將其歸因于一個(gè)名為 GOLD WINTER 的出于經(jīng)濟(jì)動(dòng)機(jī)的黑客組織。

　　SecureWorks Counter Threat Unit （CTU） 的研究人員在一份報(bào)告https://www.secureworks.com/blog/hades-ransomware-operators-use-distinctive-tactics-and-infrastructure中表示：“在許多方面，GOLD WINTER 黑客組織是典型的”侵入后勒索軟件（post-intrusion ransomware）“勒索軟件組織，他們追求高價(jià)值目標(biāo)，以最大限度地從受害者那里勒索贖金。然而，GOLD WINTER 的運(yùn)營(yíng)有一些怪癖，這將它與其他組織區(qū)分開來(lái)?！?/p>

　　這些發(fā)現(xiàn)來(lái)自于這家總部位于亞特蘭大的網(wǎng)絡(luò)安全公司在2021年第一季度進(jìn)行的一項(xiàng)事件響應(yīng)研究。

　　根據(jù) Crowdstrike 的說(shuō)法，自 2020 年 12 月首次出現(xiàn)在黑客領(lǐng)域以來(lái)，Hades 已被歸類為 老牌網(wǎng)絡(luò)犯罪集團(tuán)INDRIK SPIDER開發(fā)的WastedLocker 勒索軟件的迭代產(chǎn)品，Hades具有額外的代碼混淆和細(xì)微的功能更改。INDRIK SPIDER也被稱為 GOLD DRAKE 和 Evil Corp，是一個(gè)復(fù)雜的網(wǎng)絡(luò)犯罪集團(tuán)，因在 2017 年至 2020 年期間運(yùn)營(yíng)名為 Dridex 的銀行木馬以及傳播 BitPaymer 勒索軟件而臭名昭著。

　　根據(jù)埃森哲網(wǎng)絡(luò)調(diào)查和取證響應(yīng) （CIFR） 和網(wǎng)絡(luò)黑客情報(bào) （ACTI） 團(tuán)隊(duì)的研究，截至 2021 年 3 月下旬，WastedLocker 迭代的勒索軟件已經(jīng)影響了至少三家公司，其中包括一家美國(guó)運(yùn)輸和物流公司組織、美國(guó)消費(fèi)品組織和全球制造組織。早在 2020 年 12 月，貨運(yùn)巨頭 Forward Air 就被攻擊過(guò)。2020年12月15日，F(xiàn)orward Air Corporation檢測(cè)到一個(gè)勒索軟件事件，影響了其運(yùn)營(yíng)和信息技術(shù)系統(tǒng)，導(dǎo)致許多客戶的服務(wù)延遲。在發(fā)現(xiàn)該事件后，公司立即啟動(dòng)響應(yīng)協(xié)議，展開調(diào)查，并聘請(qǐng)網(wǎng)絡(luò)安全和取證專業(yè)人員提供服務(wù)。這次攻擊背后的Hades勒索軟件團(tuán)伙大約在一周前開始以人工攻擊企業(yè)的方式開始運(yùn)作。

　　加密受害者的文件時(shí)，攻擊者將創(chuàng)建一個(gè)名為“HOW-TO-DECRYPT- [extension] .txt”的贖金通知，該通知與REvil勒索軟件的類似，隨后，Awake Security 發(fā)布的一項(xiàng)分析提出了高級(jí)黑客攻擊者可能以 Hades 為幌子進(jìn)行操作的可能性，引用了 Hafnium 域，該域被確定為 Hades 攻擊時(shí)間線內(nèi)的攻擊指標(biāo)。Hafnium是今年早些時(shí)候?qū)σ资芄舻?Exchange 服務(wù)器發(fā)起的 ProxyLogon 攻擊的幕后黑手。

　　Secureworks 表示，該黑客組織使用與其他勒索軟件運(yùn)營(yíng)商無(wú)關(guān)的 TTP，表示地下黑市和市場(chǎng)中沒有 Hades 可能意味著 Hades 作為自定義勒索軟件而不是勒索軟件即服務(wù) （RaaS） 運(yùn)營(yíng)。

　　GOLD WINTER 的目標(biāo)是虛擬專用網(wǎng)絡(luò)和遠(yuǎn)程桌面協(xié)議，以獲得初始立足點(diǎn)并保持對(duì)受害環(huán)境的訪問(wèn)，使用它通過(guò) Cobalt Strike 等工具實(shí)現(xiàn)持久性。研究人員說(shuō)，在一個(gè)示例中，攻擊者將 Cobalt Strike 可執(zhí)行文件偽裝成 CorelDRAW 圖形編輯器應(yīng)用程序，以掩蓋文件的攻擊屬性。

　　在第二個(gè)示例中，Hades 被發(fā)現(xiàn)利用 SocGholish 惡意軟件（通常與 GOLD DRAKE 組織相關(guān)）作為初始訪問(wèn)媒介。在這種攻擊中，用戶被誘騙訪問(wèn)受感染的網(wǎng)站，使用社會(huì)工程主題模擬瀏覽器更新以在沒有用戶干預(yù)的情況下觸發(fā)惡意下載。

　　Hades復(fù)制了其他競(jìng)爭(zhēng)組織（如 REvil 和 Conti）的贖金票據(jù)的模式。

　　另一種新技術(shù)涉及使用 Tox 即時(shí)消息服務(wù)進(jìn)行通信，更不用說(shuō)使用為每個(gè)受害者量身定制的基于 Tor 的網(wǎng)站，而不是利用集中式泄漏網(wǎng)站來(lái)暴露從受害者那里竊取的數(shù)據(jù)。每個(gè)網(wǎng)站都包含一個(gè)特定于受害者的 Tox 聊天 ID，用于通信。

　　勒索軟件組織通常是投機(jī)取巧的，他們瞄準(zhǔn)任何可能受到勒索并可能支付贖金的組織。然而，GOLD WINTER 對(duì)北美大型制造商的攻擊表明，該集團(tuán)是一個(gè)專門尋找高價(jià)值目標(biāo)的組織。