Le nouveau ransomware Hades frappe les principaux fournisseurs américains
Table des matières :
Des chercheurs en sécurité ont découvert une campagne malveillante en cours ciblant des entreprises américaines de renom avec le ransomware Hades. Au moins trois fournisseurs américains ont été touchés par un acteur inconnu motivé par des intérêts financiers depuis décembre 2020.
Qu’est-ce que le ransomware Hades ?
Découvert pour la première fois à la fin de 2020, le ransomware Hades est un tout nouveau venu dans le domaine des menaces. Le malware a été nommé d’après un site web caché dédié sur Tor utilisé pour contacter les victimes après l’intrusion. Notamment, une nouvelle variante de Hades récemment émergée n’a rien en commun avec le Hades Locker famille de malwares, révélée en 2016.
Selon l’ analyse de CrowdStrike, Hades est un successeur 64 bits compilé de WastedLocker, amélioré avec la capacité d’éviter les détections basées sur les signatures et d’effectuer de l’ingénierie inversée. Les deux variantes de malware partagent le même code et fonctionnalité, à quelques différences de tactiques et outils près. Par exemple, Hades applique un contournement différent du contrôle de compte d’utilisateur (UAC) par rapport à WastedLocker, cependant, tous deux ont été pris du même projet open source UACME. D’autres disparités sont insignifiantes et concernent la manière de stocker les informations clés et la livraison de la note de rançon. La seule chose qui différencie significativement Hades de WastedLocker se réfère à la manière dont les opérateurs de ransomware communiquent avec leurs victimes. Particulièrement, les mainteneurs de Hades ont abandonné la communication par email et sont passés aux sites web cachés sur Tor uniques pour chaque victime.
Les experts en sécurité de CrowdStrike pensent que le gang Evil Corp (Dridex, INDRIK SPIDER) pourrait être derrière le développement du ransomware Hades. Le gang aurait probablement switché vers Hades pour échapper aux sanctions du Bureau de Contrôle des Actifs Étrangers (OFAC) du Département du Trésor, mises en action en décembre 2019 pour imputer aux cybercriminels plus de 100 millions de dollars de pertes financières causées par le cheval de Troie Dridex. Désormais, toutes les victimes qui ont payé la rançon pour déverrouiller leurs données de BitPaymer or WastedLocker (échantillons de ransomware utilisés par Evil Corp dans le passé) sont également considérées comme violant les sanctions. Par conséquent, pour ne pas perdre de gains financiers possibles et éviter les poursuites judiciaires, Evil Corp a développé le nouveau ransomware Hades.
Hades attaque les grandes entreprises américaines
The rapport d’Accenture’s Cyber Investigation & Forensic Response (CIFR) et des équipes de Cyber Threat Intelligence (ACTI) révèle qu’au moins trois fournisseurs basés aux États-Unis ont été victimes de l’attaque Hades. La liste des victimes inclut une entreprise de transport, un détaillant de produits de consommation et un fabricant de renommée mondiale. L’analyse approfondie de cette campagne malveillante indique que l’acteur de la menace non nommé derrière les attaques est axé sur les principaux fournisseurs avec au moins 1 milliard de dollars de revenus annuels.
L’analyse de la chaîne d’attaque montre que le ransomware Hades utilise le Protocole de Bureau à Distance (RDP) ou le Réseau Privé Virtuel (VPN) pour l’intrusion initiale, en exploitant des identifiants légitimes. De plus, les adversaires s’appuient sur Cobalt Strike et Empire pour la communication de commande-et-contrôle (C&C), le mouvement latéral et la persistance. Pour passer sous le radar et échapper à la détection par les moteurs anti-virus (AV), les acteurs de la menace utilisent des scripts batch personnalisés et des outils supplémentaires pour bloquer les services AV et EDR, effacer les journaux d’événements, empêcher l’audit des journaux Windows, et plus encore. Aux dernières étapes de l’intrusion, les opérateurs de malwares déploient le ransomware Hades pour chiffrer les données des victimes et utilisent l’utilitaire 7zip pour archiver et transférer des informations sensibles volées au serveur C&C sous le contrôle de l’attaquant. Cela est fait pour une double extorsion, qui est actuellement une approche en tendance dans le domaine des ransomwares.
Détection du ransomware Hades
Pour détecter l’activité malveillante des échantillons de ransomwares Hades et WastedLocker, vous pouvez télécharger des règles Sigma dédiées déjà disponibles dans le Threat Detection Marketplace.
Détection du ransomware Hades : une nouvelle variante de WastedLocker (via registry_event)
La règle a des traductions vers les plates-formes suivantes :
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tactiques : Évasion de la défense
Techniques : Modifier le registre (T1112)
Détection du ransomware WastedLocker
SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR : Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tactiques : Évasion de la défense, Escalade de privilèges
Techniques : Fichiers ou informations obfusqués (T1027), Injection de processus (T1055)
Abonnez-vous à Threat Detection Marketplace, une plateforme leader mondiale de Detection as Code qui agrège plus de 100 000 algorithmes de détection et requêtes de threat hunting pour plus de 23 outils SIEM, EDR et NTDR de premier plan. Vous êtes désireux de développer vos propres règles Sigma et de contribuer aux initiatives mondiales de threat hunting ? Rejoignez notre programme de primes pour menaces !
