网络安全研究人员周二披露了Hades勒索软件运营商采用的“独特”策略、技术和程序(TTP),使其与其他同类软件区别开来,并将其归因于一个名为GOLD WINTER的出于经济动机的黑客组织。
SecureWorks Counter Threat Unit(CTU)的研究人员在一份报告https://www.secureworks.com/blog/hades-ransomware-operators-use-distinctive-tactics-and-infrastructure中表示:“在许多方面,GOLD WINTER黑客组织是典型的“侵入后勒索软件(post-intrusion ransomware)”勒索软件组织,他们追求高价值目标,以最大限度地从受害者那里勒索赎金。然而,GOLD WINTER的运营有一些怪癖,这将它与其他组织区分开来。”
这些发现来自于这家总部位于亚特兰大的网络安全公司在2021年第一季度进行的一项事件响应研究。
根据Crowdstrike的说法,自2020年12月首次出现在黑客领域以来,Hades已被归类为老牌网络犯罪集团INDRIK SPIDER开发的WastedLocker勒索软件的迭代产品,Hades具有额外的代码混淆和细微的功能更改。INDRIK SPIDER也被称为GOLD DRAKE和Evil Corp,是一个复杂的网络犯罪集团,因在2017年至2020年期间运营名为Dridex的银行木马以及传播BitPaymer勒索软件而臭名昭著。
根据埃森哲网络调查和取证响应(CIFR)和网络黑客情报(ACTI)团队的研究,截至2021年3月下旬,WastedLocker迭代的勒索软件已经影响了至少三家公司,其中包括一家美国运输和物流公司组织、美国消费品组织和全球制造组织。早在2020年12月,货运巨头Forward Air就被攻击过。2020年12月15日,Forward Air Corporation检测到一个勒索软件事件,影响了其运营和信息技术系统,导致许多客户的服务延迟。在发现该事件后,公司立即启动响应协议,展开调查,并聘请网络安全和取证专业人员提供服务。这次攻击背后的Hades勒索软件团伙大约在一周前开始以人工攻击企业的方式开始运作。
加密受害者的文件时,攻击者将创建一个名为“HOW-TO-DECRYPT-[extension].txt”的赎金通知,该通知与REvil勒索软件的类似,随后,Awake Security发布的一项分析提出了高级黑客攻击者可能以Hades为幌子进行操作的可能性,引用了Hafnium域,该域被确定为Hades攻击时间线内的攻击指标。Hafnium是今年早些时候对易受攻击的Exchange服务器发起的ProxyLogon攻击的幕后黑手。
Secureworks表示,该黑客组织使用与其他勒索软件运营商无关的TTP,表示地下黑市和市场中没有Hades可能意味着Hades作为自定义勒索软件而不是勒索软件即服务(RaaS)运营。
GOLD WINTER的目标是虚拟专用网络和远程桌面协议,以获得初始立足点并保持对受害环境的访问,使用它通过Cobalt Strike等工具实现持久性。研究人员说,在一个示例中,攻击者将Cobalt Strike可执行文件伪装成CorelDRAW图形编辑器应用程序,以掩盖文件的攻击属性。
在第二个示例中,Hades被发现利用SocGholish恶意软件(通常与GOLD DRAKE组织相关)作为初始访问媒介。在这种攻击中,用户被诱骗访问受感染的网站,使用社会工程主题模拟浏览器更新以在没有用户干预的情况下触发恶意下载。
Hades复制了其他竞争组织(如REvil和Conti)的赎金票据的模式。
另一种新技术涉及使用Tox即时消息服务进行通信,更不用说使用为每个受害者量身定制的基于Tor的网站,而不是利用集中式泄漏网站来暴露从受害者那里窃取的数据。每个网站都包含一个特定于受害者的Tox聊天ID,用于通信。
勒索软件组织通常是投机取巧的,他们瞄准任何可能受到勒索并可能支付赎金的组织。然而,GOLD WINTER对北美大型制造商的攻击表明,该集团是一个专门寻找高价值目标的组织。
本文翻译自:https://thehackernews.com/2021/06/experts-shed-light-on-distinctive.html
