信息化觀察網(wǎng)

網(wǎng)絡(luò)安全研究人員周二披露了Hades勒索軟件運(yùn)營商采用的“獨(dú)特”策略、技術(shù)和程序(TTP)，使其與其他同類軟件區(qū)別開來，并將其歸因于一個(gè)名為GOLD WINTER的出于經(jīng)濟(jì)動(dòng)機(jī)的黑客組織。

SecureWorks Counter Threat Unit(CTU)的研究人員在一份報(bào)告https://www.secureworks.com/blog/hades-ransomware-operators-use-distinctive-tactics-and-infrastructure中表示：“在許多方面，GOLD WINTER黑客組織是典型的“侵入后勒索軟件（post-intrusion ransomware）”勒索軟件組織，他們追求高價(jià)值目標(biāo)，以最大限度地從受害者那里勒索贖金。然而，GOLD WINTER的運(yùn)營有一些怪癖，這將它與其他組織區(qū)分開來。”

這些發(fā)現(xiàn)來自于這家總部位于亞特蘭大的網(wǎng)絡(luò)安全公司在2021年第一季度進(jìn)行的一項(xiàng)事件響應(yīng)研究。

根據(jù)Crowdstrike的說法，自2020年12月首次出現(xiàn)在黑客領(lǐng)域以來，Hades已被歸類為老牌網(wǎng)絡(luò)犯罪集團(tuán)INDRIK SPIDER開發(fā)的WastedLocker勒索軟件的迭代產(chǎn)品，Hades具有額外的代碼混淆和細(xì)微的功能更改。INDRIK SPIDER也被稱為GOLD DRAKE和Evil Corp，是一個(gè)復(fù)雜的網(wǎng)絡(luò)犯罪集團(tuán)，因在2017年至2020年期間運(yùn)營名為Dridex的銀行木馬以及傳播BitPaymer勒索軟件而臭名昭著。

根據(jù)埃森哲網(wǎng)絡(luò)調(diào)查和取證響應(yīng)(CIFR)和網(wǎng)絡(luò)黑客情報(bào)(ACTI)團(tuán)隊(duì)的研究，截至2021年3月下旬，WastedLocker迭代的勒索軟件已經(jīng)影響了至少三家公司，其中包括一家美國運(yùn)輸和物流公司組織、美國消費(fèi)品組織和全球制造組織。早在2020年12月，貨運(yùn)巨頭Forward Air就被攻擊過。2020年12月15日，F(xiàn)orward Air Corporation檢測到一個(gè)勒索軟件事件，影響了其運(yùn)營和信息技術(shù)系統(tǒng)，導(dǎo)致許多客戶的服務(wù)延遲。在發(fā)現(xiàn)該事件后，公司立即啟動(dòng)響應(yīng)協(xié)議，展開調(diào)查，并聘請網(wǎng)絡(luò)安全和取證專業(yè)人員提供服務(wù)。這次攻擊背后的Hades勒索軟件團(tuán)伙大約在一周前開始以人工攻擊企業(yè)的方式開始運(yùn)作。

加密受害者的文件時(shí)，攻擊者將創(chuàng)建一個(gè)名為“HOW-TO-DECRYPT-[extension].txt”的贖金通知，該通知與REvil勒索軟件的類似，隨后，Awake Security發(fā)布的一項(xiàng)分析提出了高級黑客攻擊者可能以Hades為幌子進(jìn)行操作的可能性，引用了Hafnium域，該域被確定為Hades攻擊時(shí)間線內(nèi)的攻擊指標(biāo)。Hafnium是今年早些時(shí)候?qū)σ资芄舻腅xchange服務(wù)器發(fā)起的ProxyLogon攻擊的幕后黑手。

Secureworks表示，該黑客組織使用與其他勒索軟件運(yùn)營商無關(guān)的TTP，表示地下黑市和市場中沒有Hades可能意味著Hades作為自定義勒索軟件而不是勒索軟件即服務(wù)(RaaS)運(yùn)營。

GOLD WINTER的目標(biāo)是虛擬專用網(wǎng)絡(luò)和遠(yuǎn)程桌面協(xié)議，以獲得初始立足點(diǎn)并保持對受害環(huán)境的訪問，使用它通過Cobalt Strike等工具實(shí)現(xiàn)持久性。研究人員說，在一個(gè)示例中，攻擊者將Cobalt Strike可執(zhí)行文件偽裝成CorelDRAW圖形編輯器應(yīng)用程序，以掩蓋文件的攻擊屬性。

在第二個(gè)示例中，Hades被發(fā)現(xiàn)利用SocGholish惡意軟件（通常與GOLD DRAKE組織相關(guān)）作為初始訪問媒介。在這種攻擊中，用戶被誘騙訪問受感染的網(wǎng)站，使用社會(huì)工程主題模擬瀏覽器更新以在沒有用戶干預(yù)的情況下觸發(fā)惡意下載。

Hades復(fù)制了其他競爭組織（如REvil和Conti）的贖金票據(jù)的模式。

另一種新技術(shù)涉及使用Tox即時(shí)消息服務(wù)進(jìn)行通信，更不用說使用為每個(gè)受害者量身定制的基于Tor的網(wǎng)站，而不是利用集中式泄漏網(wǎng)站來暴露從受害者那里竊取的數(shù)據(jù)。每個(gè)網(wǎng)站都包含一個(gè)特定于受害者的Tox聊天ID，用于通信。

勒索軟件組織通常是投機(jī)取巧的，他們瞄準(zhǔn)任何可能受到勒索并可能支付贖金的組織。然而，GOLD WINTER對北美大型制造商的攻擊表明，該集團(tuán)是一個(gè)專門尋找高價(jià)值目標(biāo)的組織。

本文翻譯自：https://thehackernews.com/2021/06/experts-shed-light-on-distinctive.html