Il Nuovo Ransomware Hades Colpisce i Principali Fornitori USA
Indice:
I ricercatori di sicurezza hanno scoperto una campagna malevola in corso che prende di mira grandi aziende statunitensi con il ransomware Hades. Almeno tre fornitori statunitensi sono stati colpiti da un attore sconosciuto a scopo di lucro finanziario dal dicembre 2020.
Cos’è il Ransomware Hades?
Scoperto per la prima volta alla fine del 2020, il ransomware Hades è un nuovo giocatore nell’arena delle minacce. Il malware è stato chiamato così per un sito web nascosto su Tor dedicato che viene utilizzato per contattare le vittime dopo l’intrusione. Notabilmente, una nuova variante di Hades emersa di recente non ha nulla in comune con il Hades Locker famiglia di malware, rivelata nel 2016.
Secondo l’ analisi di CrowdStrike, Hades è un successore compilato a 64-bit di WastedLocker, migliorato con la capacità di eludere le rilevazioni basate su firma e eseguire reverse engineering. Entrambi i varianti di malware condividono lo stesso codice e funzionalità , ad eccezione di lievi differenze in tattiche e strumenti. Ad esempio, Hades applica un differente bypass del Controllo Account Utente (UAC) rispetto a WastedLocker, tuttavia, entrambi sono stati presi dallo stesso progetto open source UACME. Altre discrepanze sono insignificanti e riguardano il modo di memorizzare le informazioni chiave e il recapito della nota di riscatto. L’unica cosa che differisce significativamente Hades da WastedLocker riguarda il modo in cui gli operatori del ransomware comunicano con le loro vittime. In particolare, i manutentori di Hades hanno abbandonato la comunicazione via email e sono passati ai siti web nascosti su Tor unici per ogni vittima.
Gli esperti di sicurezza di CrowdStrike credono che la Gang Evil Corp (Dridex, INDRIK SPIDER) possa essere dietro lo sviluppo del ransomware Hades. La Gang presumibilmente è passata a Hades per eludere le sanzioni da parte dell’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro che sono state attuate nel dicembre 2019 per accusare i cybercriminali di oltre 100 milioni di dollari di perdite finanziarie causate dal Trojan Dridex. Ora tutte le vittime che hanno pagato il riscatto per sbloccare i loro dati da BitPaymer or WastedLocker (campioni di ransomware utilizzati da Evil Corp in passato) sono considerati anche come coloro che violano le sanzioni. Pertanto, per non perdere possibili guadagni finanziari ed evitare azioni legali, Evil Corp ha sviluppato il nuovo ransomware Hades.
Hades attacca le grandi aziende statunitensi
The un rapporto dai team di Cyber Investigation & Forensic Response (CIFR) e Cyber Threat Intelligence (ACTI) di Accenture rivela che almeno tre fornitori con sede negli Stati Uniti hanno subito un attacco di Hades. L’elenco delle vittime include un’azienda di trasporti, un rivenditore di prodotti di consumo e un produttore leader mondiale. L’indagine approfondita su questa campagna malevola indica che l’attore della minaccia non identificato dietro gli attacchi è focalizzato sui principali fornitori con almeno 1 miliardo di dollari di entrate annuali.
L’analisi della kill chain dell’attacco mostra che il ransomware Hades utilizza il Remote Desktop Protocol (RDP) o la Virtual Private Network (VPN) per l’intrusione iniziale, sfruttando le credenziali legittime. Inoltre, gli avversari si affidano a Cobalt Strike ed Empire per la comunicazione comando-e-controllo (C&C), il movimento laterale e la persistenza. Per volare sotto il radar ed eludere il rilevamento da parte dei motori anti-virus (AV), gli attori delle minacce utilizzano script batch personalizzati e ulteriori strumenti per bloccare i servizi AV ed EDR, cancellare i log degli eventi, impedire il log degli audit di Windows, e altro. Nelle fasi più avanzate dell’intrusione, gli operatori di malware distribuiscono il ransomware Hades per criptare i dati della vittima e usano l’utilità 7zip per archiviare e trasferire le informazioni sensibili rubate al server C&C sotto il controllo dell’attaccante. Questo viene fatto per il doppio ricatto, che attualmente è un approccio di tendenza nell’arena dei ransomware.
Rilevamento del ransomware Hades
Per rilevare l’attività malevola dei campioni di ransomware Hades e WastedLocker, puoi scaricare regole Sigma dedicate già disponibili nel Threat Detection Marketplace.
Rilevamento del ransomware Hades, una nuova variante di WastedLocker (via registry_event)
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Tattiche: Evasione della difesa
Tecniche: Modifica del registro (T1112)
Rilevamento del ransomware WastedLocker
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Tattiche: Evasione della difesa, Escalation dei privilegi
Tecniche: File o informazioni occultate (T1027), Iniezione di processo (T1055)
Iscriviti al Threat Detection Marketplace, una piattaforma leader mondiale nel rilevamento come codice che aggrega oltre 100.000 algoritmi di rilevamento e query di threat hunting per oltre 23 strumenti leader di mercato SIEM, EDR, e NTDR. Desideroso di sviluppare le tue regole Sigma e contribuire alle iniziative globali di threat hunting? Unisciti al nostro Threat Bounty Program!Â
