專門針對(duì)大型組織 勒索軟件Hades Ransomware利用獨(dú)特策略進(jìn)行偽裝

網(wǎng)絡(luò)安全研究人員披露了Hades勒索軟件運(yùn)營商采用“獨(dú)特”策略、技術(shù)和程序(TTP)，使其有別于其他勒索軟件，并將其歸因于一個(gè)叫GOLD WINTER的威脅組織。

SecureWorks反威脅小組(CTU)的研究人員在一份報(bào)告中稱，從多方面來看，GOLD WINTER 威脅組織是典型的入侵后勒索軟件威脅組織，他們追求高價(jià)值目標(biāo)，以最大限度地從受害者那勒索錢財(cái)。

自從Hades于2020年12月首次出現(xiàn)在網(wǎng)絡(luò)安全威脅領(lǐng)域以來，就被列為INDRIK SPIDER的繼任者。據(jù)報(bào)道，該勒索軟件具有“額外代碼混淆和次要功能的變化”。INDRIK SPIDER，也被稱為GOLD DRAKE和Evil Corp，是一個(gè)復(fù)雜的犯罪團(tuán)伙，因在2017年至2020年期間運(yùn)行一種名為Dridex的銀行木馬以及分發(fā)bitpayer勒索軟件而為人熟知。

根據(jù)調(diào)查，截至2021年3月下旬，WastedLocker衍生的勒索軟件已經(jīng)影響了至少三名受害者，其中包括一家美國運(yùn)輸和物流公司組織、美國消費(fèi)品組織和全球制造組織。早在2020年12月，貨運(yùn)巨頭Forward Air就被披露為目標(biāo)。

隨后，Awake Security發(fā)布的一項(xiàng)分析提出了高級(jí)威脅行為者可能以Hades為幌子進(jìn)行操作的可能性，他引用了Hafnium域，該域在Hades攻擊時(shí)間線內(nèi)被確定為一個(gè)妥協(xié)指標(biāo)。

Secureworks表示，該威脅組織使用的TTPs與其他勒索軟件運(yùn)營商沒有關(guān)聯(lián)，并表示 Hades不在地下論壇和市場中可能意味著Hades作為私人勒索軟件而不是勒索軟件即服務(wù)(RaaS)運(yùn)營。

攻擊手法：

GOLD WINTER以虛擬專用網(wǎng)絡(luò)和遠(yuǎn)程桌面協(xié)議為目標(biāo)，以獲得初始立足點(diǎn)并保持對(duì)受害者環(huán)境的訪問，通過Cobalt Strike等工具來實(shí)現(xiàn)持久性。研究人員說，在一個(gè)例子中，對(duì)手將Cobalt Strike可執(zhí)行文件偽裝成CorelDRAW圖形編輯器應(yīng)用程序，以掩蓋文件的真實(shí)性質(zhì)。

在第二種情況下，Hades被發(fā)現(xiàn)利用SocGholish惡意軟件(通常與GOLD DRAKE組織相關(guān)聯(lián))作為初始訪問向量。SocGholish 指的是一種路過式攻擊，在這種攻擊中，用戶被誘騙訪問受感染的網(wǎng)站，使用社會(huì)工程主題模擬瀏覽器更新，以在沒有用戶干預(yù)的情況下觸發(fā)惡意下載。

Hades使用了復(fù)制其他競爭對(duì)手組織(如REvil和Conti)的勒索信息模式。

另一種新技術(shù)涉及使用Tox即時(shí)消息服務(wù)進(jìn)行通信，他們?yōu)槊總€(gè)受害者量身定制基于Tor的網(wǎng)站，沒有利用集中式泄漏站點(diǎn)來暴露從受害者那里竊取的數(shù)據(jù)。

勒索軟件攻擊目標(biāo)

勒索軟件組織通常是投機(jī)取巧的，他們瞄準(zhǔn)任何可能受到勒索并支付贖金的組織，但通過GOLD WINTER對(duì)北美大型制造商的攻擊表明，這個(gè)組織是一個(gè)專門尋找高價(jià)值目標(biāo)的“大型獵手”。

勒索軟件的戰(zhàn)略目標(biāo)早已發(fā)生改變，現(xiàn)如今犯罪分子更愿意將目標(biāo)放在影響巨大的制造業(yè)及關(guān)鍵信息基礎(chǔ)設(shè)施上，據(jù)國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心報(bào)告，2020年僅上半年，我國大量關(guān)鍵信息基礎(chǔ)設(shè)施及其聯(lián)網(wǎng)控制系統(tǒng)的網(wǎng)絡(luò)資產(chǎn)信息被境外嗅探，日均超過2萬次;大型工業(yè)云平臺(tái)持續(xù)遭受來自境外的網(wǎng)絡(luò)攻擊，平均攻擊次數(shù)114次/日，同比上升27%。這也要求關(guān)鍵基礎(chǔ)設(shè)施及制造業(yè)這些關(guān)系社會(huì)發(fā)展及國民生計(jì)的企業(yè)更要加強(qiáng)網(wǎng)絡(luò)安全防范意識(shí)及防御措施。

防范勒索軟件攻擊，保護(hù)數(shù)據(jù)安全可以從以下幾方面做起：

1. 完善關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保護(hù)制度及流程，加強(qiáng)相關(guān)人員網(wǎng)絡(luò)安全意識(shí);

2. 加強(qiáng)網(wǎng)絡(luò)安全技術(shù)自主可控，針對(duì)核心技術(shù)進(jìn)行自主研發(fā);

3. 保障關(guān)鍵信息基礎(chǔ)設(shè)施硬件的供應(yīng)鏈及物流鏈安全;

4. 對(duì)軟件部分進(jìn)行漏洞檢測及修復(fù)，在軟件開發(fā)周期中通過靜態(tài)代碼檢測及動(dòng)態(tài)應(yīng)用測試等方式，加強(qiáng)應(yīng)用程序的安全性。

參讀鏈接：

https://www.woocoom.com/b021.html?id=f188cab5356a47ee8f883d14fca01b1b

https://thehackernews.com/2021/06/experts-shed-light-on-distinctive.html