专门针对大型组织 勒索软件Hades Ransomware利用独特策略进行伪装 – 作者:中科天齐软件安全中心

网络安全研究人员披露了Hades勒索软件运营商采用“独特”策略、技术和程序(TTP)，使其有别于其他勒索软件，并将其归因于一个叫GOLD WINTER的威胁组织。

SecureWorks反威胁小组(CTU)的研究人员在一份报告中称，从多方面来看，GOLD WINTER 威胁组织是典型的入侵后勒索软件威胁组织，他们追求高价值目标，以最大限度地从受害者那勒索钱财。

自从Hades于2020年12月首次出现在网络安全威胁领域以来，就被列为INDRIK SPIDER的继任者。据报道，该勒索软件具有“额外代码混淆和次要功能的变化”。INDRIK SPIDER，也被称为GOLD DRAKE和Evil Corp，是一个复杂的犯罪团伙，因在2017年至2020年期间运行一种名为Dridex的银行木马以及分发bitpayer勒索软件而为人熟知。

根据调查，截至2021年3月下旬，WastedLocker衍生的勒索软件已经影响了至少三名受害者，其中包括一家美国运输和物流公司组织、美国消费品组织和全球制造组织。早在2020年12月，货运巨头Forward Air就被披露为目标。

随后，Awake Security发布的一项分析提出了高级威胁行为者可能以Hades为幌子进行操作的可能性，他引用了Hafnium域，该域在Hades攻击时间线内被确定为一个妥协指标。

Secureworks表示，该威胁组织使用的TTPs与其他勒索软件运营商没有关联，并表示 Hades不在地下论坛和市场中可能意味着Hades作为私人勒索软件而不是勒索软件即服务(RaaS)运营。

攻击手法：

GOLD WINTER以虚拟专用网络和远程桌面协议为目标，以获得初始立足点并保持对受害者环境的访问，通过Cobalt Strike等工具来实现持久性。研究人员说，在一个例子中，对手将Cobalt Strike可执行文件伪装成CorelDRAW图形编辑器应用程序，以掩盖文件的真实性质。

在第二种情况下，Hades被发现利用SocGholish恶意软件(通常与GOLD DRAKE组织相关联)作为初始访问向量。SocGholish 指的是一种路过式攻击，在这种攻击中，用户被诱骗访问受感染的网站，使用社会工程主题模拟浏览器更新，以在没有用户干预的情况下触发恶意下载。

Hades使用了复制其他竞争对手组织(如REvil和Conti)的勒索信息模式。

另一种新技术涉及使用Tox即时消息服务进行通信，他们为每个受害者量身定制基于Tor的网站，没有利用集中式泄漏站点来暴露从受害者那里窃取的数据。

勒索软件攻击目标

勒索软件组织通常是投机取巧的，他们瞄准任何可能受到勒索并支付赎金的组织，但通过GOLD WINTER对北美大型制造商的攻击表明，这个组织是一个专门寻找高价值目标的“大型猎手”。

勒索软件的战略目标早已发生改变，现如今犯罪分子更愿意将目标放在影响巨大的制造业及关键信息基础设施上，据国家计算机网络应急技术处理协调中心报告，2020年仅上半年，我国大量关键信息基础设施及其联网控制系统的网络资产信息被境外嗅探，日均超过2万次;大型工业云平台持续遭受来自境外的网络攻击，平均攻击次数114次/日，同比上升27%。这也要求关键基础设施及制造业这些关系社会发展及国民生计的企业更要加强网络安全防范意识及防御措施。

防范勒索软件攻击，保护数据安全可以从以下几方面做起：

1. 完善关键信息基础设施的网络安全保护制度及流程，加强相关人员网络安全意识;

2. 加强网络安全技术自主可控，针对核心技术进行自主研发;

3. 保障关键信息基础设施硬件的供应链及物流链安全;

4. 对软件部分进行漏洞检测及修复，在软件开发周期中通过静态代码检测及动态应用测试等方式，加强应用程序的安全性。

参读链接：

https://www.woocoom.com/b021.html?id=f188cab5356a47ee8f883d14fca01b1b

https://thehackernews.com/2021/06/experts-shed-light-on-distinctive.html

来源：freebuf.com 2021-06-18 10:29:15 by: 中科天齐软件安全中心