Nuevo Ransomware Hades Afecta a Principales Proveedores de EE. UU.
Tabla de contenidos:
Investigadores de seguridad descubrieron una campaña maliciosa en curso que apunta a grandes empresas de EE.UU. con el ransomware Hades. Al menos tres proveedores de EE.UU. han sido afectados por un atacante de motivación financiera desconocida desde diciembre de 2020.
¿Qué es el ransomware Hades?
Descubierto por primera vez a finales de 2020, el ransomware Hades es un nuevo jugador en el escenario de las amenazas. El malware fue nombrado a partir de un sitio web oculto en Tor dedicado que se usa para contactar a las víctimas después de la intrusión. Notablemente, una variante recién emergida de Hades no tiene nada en común con el Hades Locker familia de malware, revelada en 2016.
Según el análisis de CrowdStrike, Hades es un sucesor compilado de 64 bits de WastedLocker mejorado con la capacidad de evadir detecciones basadas en firmas y realizar ingeniería inversa. Ambas variantes de malware comparten el mismo código y funcionalidad, excepto por ligeras diferencias en tácticas y herramientas. Por ejemplo, Hades aplica un bypass de Control de Cuentas de Usuario (UAC) diferente al de WastedLocker, sin embargo, ambas fueron tomadas del mismo proyecto de código abierto UACME. Otra disparidad es insignificante y se relaciona con la forma de almacenar información clave y la entrega de notas de rescate. La única cosa que diferencia significativamente a Hades de WastedLocker se refiere a la manera en que los operadores del ransomware se comunican con sus víctimas. En particular, los mantenedores de Hades abandonaron la comunicación por correo electrónico y cambiaron a sitios web ocultos en Tor únicos para cada víctima.
Expertos en seguridad de CrowdStrike creen que la banda Evil Corp (Dridex, INDRIK SPIDER) podría estar detrás del desarrollo del ransomware Hades. Se presume que la banda cambió a Hades para evadir sanciones de la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro que se tomaron en diciembre de 2019 para acusar a los ciberdelincuentes de pérdidas financieras de más de $100 millones causadas por el troyano Dridex. Ahora, todas las víctimas que pagaron el rescate para desbloquear sus datos de BitPaymer or WastedLocker (muestras de ransomware utilizadas por Evil Corp en el pasado) también se consideran como aquellas que violan las sanciones. Por lo tanto, para no perder posibles ganancias financieras y evitar acciones legales, Evil Corp desarrolló el nuevo ransomware Hades.
Ataques de Hades a grandes empresas de EE.UU.
The informe de los equipos de Investigación Cibernética y Respuesta Forense (CIFR) e Inteligencia de Amenazas Cibernéticas (ACTI) de Accenture revela que al menos tres proveedores con sede en EE.UU. han sufrido un ataque de Hades. La lista de víctimas incluye una empresa de transporte, un minorista de productos de consumo y un fabricante líder mundial. El análisis profundo de esta campaña maliciosa indica que el actor de amenaza no identificado detrás de los ataques se centra en los principales proveedores con al menos $1 mil millones en ingresos anuales.
El análisis de la cadena de ataque muestra que el ransomware Hades utiliza el Protocolo de Escritorio Remoto (RDP) o la Red Privada Virtual (VPN) para la intrusión inicial, aprovechando credenciales legítimas. Además, los adversarios confían en Cobalt Strike y Empire para la comunicación de mando y control (C&C), movimiento lateral y persistencia. Para pasar desapercibidos y evadir la detección por motores de antivirus (AV), los actores de amenaza usan scripts por lotes personalizados y herramientas adicionales para bloquear servicios AV y EDR, borrar registros de eventos, evitar registros de auditoría de Windows, y más. En las últimas etapas de la intrusión, los operadores de malware desplegan el ransomware Hades para cifrar los datos de la víctima y utilizan la utilidad 7zip para archivar y transferir información sensible robada al servidor C&C bajo el control del atacante. Esto se realiza para lograr la doble extorsión, que actualmente es un enfoque de tendencia en el ámbito del ransomware.
Detectando el ransomware Hades
Para detectar la actividad maliciosa de muestras de ransomware Hades y WastedLocker, puede descargar reglas dedicadas de Sigma ya disponibles en Threat Detection Marketplace.
Detección de ransomware Hades una nueva variante de WastedLocker (vía registry_event)
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tácticas: Evasión de Defensa
Técnicas: Modificar Registro (T1112)
Detección del ransomware WastedLocker
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tácticas: Evasión de Defensa, Escalada de Privilegios
Técnicas: Archivos o Información Obfuscada (T1027), Inyección de Procesos (T1055)
Suscríbete a Threat Detection Marketplace, una plataforma líder mundial de Detección como Código que agrega más de 100,000 algoritmos de detección y consultas de caza de amenazas para más de 23 herramientas líderes del mercado SIEM, EDR, y NTDR. ¿Interesado en desarrollar tus propias reglas Sigma y contribuir a las iniciativas globales de caza de amenazas? ¡Únete a nuestro Programa de Recompensas por Amenazas!
