Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã tiết lộ các chiến thuật, kỹ thuật và quy trình (TTP) “đặc biệt” được các nhà điều hành của ransomware Hades áp dụng để làm cho nó khác biệt với phần còn lại của gói, quy nó vào một nhóm đe dọa có động cơ tài chính được gọi là MÙA ĐÔNG VÀNG.
Các nhà nghiên cứu từ SecureWorks Counter Threat Unit (CTU) cho biết: “Theo nhiều cách, nhóm mối đe dọa GOLD WINTER là một nhóm mối đe dọa ransomware sau xâm nhập điển hình theo đuổi các mục tiêu có giá trị cao để tối đa hóa số tiền mà nó có thể tống tiền từ nạn nhân của mình” phân tích đã chia sẻ với The Hacker News. “Tuy nhiên, hoạt động của GOLD WINTER có những điểm kỳ quặc để phân biệt nó với các nhóm khác.”
Phát hiện này đến từ một nghiên cứu về các nỗ lực ứng phó sự cố mà công ty an ninh mạng có trụ sở tại Atlanta đã tham gia vào quý đầu tiên của năm 2021.
Kể từ lần đầu tiên xuất hiện trong bối cảnh mối đe dọa vào tháng 12 năm 2020, Hades đã được phân loại là người kế nhiệm INDRIK SPIDER cho WastedLocker ransomware với “sự xáo trộn mã bổ sung và những thay đổi nhỏ về tính năng”, mỗi Crowdstrike. INDRIK SPIDER, cũng được biết đến như là RỒNG VÀNG và Evil Corp, là một nhóm eCrime tinh vi, khét tiếng vì điều hành một trojan ngân hàng có tên là Dridex cũng như phân phối ransomware BitPaymer từ năm 2017 đến năm 2020.
Theo nguồn tin từ WastedLocker, chủng ransomware có nguồn gốc từ WastedLocker đã ảnh hưởng đến ít nhất ba nạn nhân vào cuối tháng 3 năm 2021. nghiên cứu bởi các nhóm Điều tra Mạng và Phản hồi Pháp y (CIFR) và Tình báo Đe dọa Mạng (ACTI) của Accenture, bao gồm tổ chức vận tải và hậu cần của Hoa Kỳ, tổ chức sản phẩm tiêu dùng của Hoa Kỳ và tổ chức sản xuất toàn cầu. Vận tải đường bộ khổng lồ Forward Air đã được tiết lộ là một mục tiêu trở lại vào tháng 12 năm 2020.
Sau đó, một phân tích tiếp theo được xuất bản bởi Awake Security nâng cao khả năng rằng một tác nhân đe dọa nâng cao có thể đang hoạt động dưới vỏ bọc của Hades, trích dẫn một miền Hafnium đã được xác định là một dấu hiệu của sự thỏa hiệp trong dòng thời gian của cuộc tấn công Hades. Hafnium là tên được Microsoft gán cho một tổ chức nhà nước quốc gia Trung Quốc mà công ty cho biết là người đứng sau Các cuộc tấn công ProxyLogon trên Máy chủ Exchange dễ bị tấn công vào đầu năm nay.
Tuyên bố rằng nhóm mối đe dọa sử dụng TTP không được liên kết với các nhà khai thác ransomware khác, Secureworks cho biết sự vắng mặt của Hades trên các diễn đàn và thị trường ngầm có thể có nghĩa là Hades được vận hành dưới dạng ransomware riêng chứ không phải ransomware-as-a-service (RaaS).
GOLD WINTER nhắm mục tiêu vào các mạng riêng ảo và các giao thức máy tính để bàn từ xa để đạt được chỗ đứng ban đầu và duy trì quyền truy cập vào môi trường nạn nhân, sử dụng nó để đạt được sự bền bỉ thông qua các công cụ như Cobalt Strike. Trong một trường hợp, kẻ thù đã ngụy trang tệp thực thi Cobalt Strike thành một ứng dụng biên tập đồ họa CorelDRAW để che giấu bản chất thực của tệp, các nhà nghiên cứu cho biết.
Trong trường hợp thứ hai, Hades được phát hiện là đã tận dụng SocGholish phần mềm độc hại – thường được liên kết với nhóm GOLD DRAKE – như một vectơ truy cập ban đầu. SocGholish đề cập đến cuộc tấn công từng ổ, trong đó người dùng bị lừa truy cập vào một trang web bị nhiễm virut bằng cách sử dụng các chủ đề kỹ thuật xã hội mạo danh các bản cập nhật trình duyệt để kích hoạt tải xuống độc hại mà không có sự can thiệp của người dùng.
Điều thú vị là, trong những gì dường như là một nỗ lực để đánh lừa sự phân bổ hoặc “bày tỏ lòng kính trọng đối với các gia đình ransomware được ngưỡng mộ”, Hades đã thể hiện một mô hình sao chép các ghi chú đòi tiền chuộc từ các nhóm đối thủ khác như REvil và Conti.
Một kỹ thuật mới khác liên quan đến việc sử dụng Nhắn tin tức thời Tox dịch vụ liên lạc, chưa kể đến việc sử dụng các trang web dựa trên Tor phù hợp với từng nạn nhân thay vì sử dụng trang web rò rỉ tập trung để lộ dữ liệu bị đánh cắp từ nạn nhân. Các nhà nghiên cứu cho biết: “Mỗi trang web bao gồm một ID trò chuyện Tox dành riêng cho nạn nhân để liên lạc.
Các nhà nghiên cứu lưu ý: “Các nhóm ransomware thường mang tính cơ hội: chúng nhắm mục tiêu vào bất kỳ tổ chức nào có thể dễ bị tống tiền và có khả năng sẽ trả tiền chuộc”, các nhà nghiên cứu lưu ý. “Tuy nhiên, các cuộc tấn công của GOLD WINTER vào các nhà sản xuất lớn có trụ sở tại Bắc Mỹ chỉ ra rằng nhóm này là một ‘thợ săn trò chơi lớn’ đặc biệt tìm kiếm các mục tiêu có giá trị cao.”
