Neue Hades-Ransomware trifft führende US-Anbieter
Inhaltsverzeichnis:
Sicherheitsforscher haben eine laufende, bösartige Kampagne aufgedeckt, die große US-Unternehmen mit Hades-Ransomware ins Visier nimmt. Mindestens drei US-Anbieter wurden seit Dezember 2020 von einem unbekannten, finanziell motivierten Akteur angegriffen.
Was ist Hades-Ransomware?
Erstmals Ende 2020 entdeckt, ist Hades-Ransomware ein brandneuer Akteur in der Bedrohungsarena. Die Malware wurde nach einer dedizierten Tor-Hidden-Website benannt, die verwendet wird, um nach dem Eindringen mit den Opfern Kontakt aufzunehmen. Bemerkenswerterweise hat eine neu aufgetauchte Hades-Variante nichts gemeinsam mit der Hades Locker -Malware-Familie, die 2016 enthüllt wurde.
Laut der Analyse von CrowdStrike ist Hades ein 64-Bit-kompilierter Nachfolger von WastedLocker, erweitert mit der Fähigkeit, signaturbasierte Erkennungen zu umgehen und Reverse Engineering durchzuführen. Beide Malware-Varianten teilen sich denselben Code und dieselbe Funktionalität, abgesehen von geringfügigen Unterschieden in Taktiken und Werkzeugen. Zum Beispiel verwendet Hades ein anderes Benutzerkontensteuerungs-Bypass (UAC) als WastedLocker, aber beide stammen aus dem gleichen Open-Source-Projekt UACME. Andere Unterschiede sind unbedeutend und beziehen sich auf die Art und Weise, wie Schlüsselinformationen gespeichert und Lösegeldforderungen übermittelt werden. Der einzige signifikante Unterschied zwischen Hades und WastedLocker betrifft die Art und Weise, wie die Ransomware-Operatoren mit ihren Opfern kommunizieren. Insbesondere haben die Hades-Betreiber die E-Mail-Kommunikation aufgegeben und sind zu den für jedes Opfer einzigartigen Tor-Hidden-Websites gewechselt.
Sicherheitsexperten von CrowdStrike glauben, dass die Evil Corp (Dridex, INDRIK SPIDER) Gang hinter der Entwicklung der Hades-Ransomware stecken könnte. Die Gang hat vermutlich auf Hades umgeschaltet, um Sanktionen des Amts für ausländische Vermögenskontrolle (OFAC) des Finanzministeriums zu umgehen, die im Dezember 2019 in Kraft traten, um Cyberkriminelle wegen finanzieller Verluste von über 100 Millionen Dollar durch den Dridex-Trojaner anzuklagen. Jetzt gelten alle Opfer, die das Lösegeld zur Entsperrung ihrer Daten bezahlt haben, für BitPaymer or WastedLocker (Ransomware-Beispiele, die in der Vergangenheit von Evil Corp verwendet wurden), ebenfalls als diejenigen, die die Sanktionen verletzen. Daher entwickelte Evil Corp, um mögliche finanzielle Gewinne nicht zu verlieren und rechtlichen Schritten zu entgehen, die neue Hades-Ransomware.
Hades greift große US-Unternehmen an
The Ein Bericht von Accentures Cyber Investigation & Forensic Response (CIFR) und Cyber Threat Intelligence (ACTI) Teams zeigt, dass mindestens drei US-basierte Anbieter von Hades-Angriffen betroffen sind. Die Liste der Opfer umfasst ein Transportunternehmen, einen Einzelhändler für Verbraucherprodukte und einen weltweit führenden Hersteller. Die detaillierte Analyse dieser bösartigen Kampagne deutet darauf hin, dass der namenlose Bedrohungsakteur hinter den Angriffen sich auf Top-Anbieter mit mindestens 1 Milliarde US-Dollar Jahresumsatz konzentriert.
Die Analyse der Tötungskette zeigt, dass Hades-Ransomware das Remote Desktop Protocol (RDP) oder Virtual Private Network (VPN) für den ersten Eindringen verwendet, wobei legitime Anmeldeinformationen genutzt werden. Weiterhin verlassen sich die Angreifer auf Cobalt Strike und Empire für Befehl-und-Kontroll-Kommunikation, laterale Bewegung und Beständigkeit. Um unter dem Radar zu fliegen und Erkennungen durch Anti-Virus-Engines zu vermeiden, verwenden Bedrohungsakteure benutzerdefinierte Batch-Skripte und zusätzliche Werkzeuge, um AV- und EDR-Dienste zu blockieren, Ereignisprotokolle zu löschen, Windows-Audit-Logging zu verhindern und mehr. In den neuesten Phasen des Eindringens setzen die Malware-Operatoren Hades-Ransomware ein, um die Daten des Opfers zu verschlüsseln, und verwenden das 7zip-Dienstprogramm, um gestohlene, sensible Informationen zu archivieren und zum Befehl-und-Kontroll-Server unter der Kontrolle des Angreifers zu übertragen. Dies geschieht zur doppelten Erpressung, die derzeit ein Top-Trend-Ansatz in der Ransomware-Arena ist.
Erkennung von Hades-Ransomware
Um die bösartige Aktivität von Hades- und WastedLocker-Ransomware-Beispielen zu erkennen, können Sie dedizierte Sigma-Regeln herunterladen, die bereits im Threat Detection Marketplace verfügbar sind.
Hades Ransomware Erkennung einer neuen Variante von WastedLocker (via registry_event)
Die Regel hat Übersetzungen für die folgenden Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Taktiken: Verteidigungsumgehung
Techniken: Registry ändern (T1112)
Erkennung von WastedLocker Ransomware
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Taktiken: Verteidigungsumgehung, Privilegieneskalation
Techniken: Obfuskierte Dateien oder Informationen (T1027), Prozessinjektion (T1055)
Abonnieren Sie den Threat Detection Marketplace, eine weltweit führende Detection as Code-Plattform, die über 100K+ Erkennungsalgorithmen und Threat-Hunting-Abfragen für 23+ marktführende SIEM-, EDR- und NTDR-Werkzeuge aggregiert. Möchten Sie Ihre eigenen Sigma-Regeln entwickeln und zu den globalen Threat-Hunting-Initiativen beitragen? Treten Sie unserem Threat Bounty Program bei!
