新たなHadesランサムウェアが主要な米ベンダーを攻撃

セキュリティ研究者たちは、Hadesランサムウェアを使用して大手米国企業を標的とする現在進行中の悪意のあるキャンペーンを発見しました。少なくとも3つの米国ベンダーが、2020年12月以来、未知の金銭的動機を持つ攻撃者によって攻撃されています。

Hadesランサムウェアとは何ですか？

Hadesランサムウェアは、2020年後半に初めて発見された新しい脅威のプレイヤーです。このマルウェアは、侵入後に被害者と連絡を取るために使用される専用のTor隠しウェブサイトにちなんで命名されました。特に、新たに出現したHadesのバリアントは、 Hades Locker マルウェアファミリー（2016年に明らかになったもの）とは何の共通点もありません。

による分析によれば、 CrowdStrike によれば、Hadesは、WastedLockerの64ビットコンパイル版後継であり、シグネチャベースの検出を回避し、リバースエンジニアリングを実行する機能を備えています。どちらのマルウェアバリアントも同じコードと機能を共有していますが、戦術とツールのわずかな違いを除けば同じです。たとえば、HadesはWastedLockerとは異なるユーザーアカウント制御（UAC）バイパスを適用しますが、これはどちらも同じオープンソースのUACMEプロジェクトから取られたものです。他の違いは無視できる程度で、キー情報の保存方法やランサムノートの配信に関連しています。HadesがWastedLockerと大きく異なる点は、ランサムウェアオペレーターが被害者とどのようにコミュニケーションを取るかにあります。特に、Hadesのメンテナーは電子メールでのコミュニケーションを廃止し、被害者ごとにユニークなTor隠しウェブサイトに切り替えました。

CrowdStrikeのセキュリティ専門家たちは、Evil Corp（Dridex、INDRIK SPIDER）ギャングがHadesランサムウェアの開発の背後にいる可能性があると信じています。このギャングはおそらく、 制裁 を避けるためにHadesに切り替えたと考えられます。これらの制裁は、米国財務省外国資産管理局（OFAC）が2019年12月に発動したもので、Dridexトロイの木馬による1億ドル以上の財務損失に対するサイバー犯罪者の起訴を目指しています。現在、 BitPaymer or WastedLocker （過去にEvil Corpが使用したランサムウェアサンプル）からデータをアンロックする代金を支払ったすべての被害者は、これらの制裁に違反しているとみなされます。したがって、可能な財務利益を失わず、法的措置を回避するために、Evil Corpは新しいHadesランサムウェアを開発しました。

Hadesが米国の大手企業を攻撃

The Accentureのサイバー調査およびフォレンジック対応（CIFR）およびサイバー脅威インテリジェンス（ACTI）チームの レポート

によると、少なくとも3つの米国ベンダーがHades攻撃を受けました。被害者のリストには、運輸会社、消費者製品小売業者、そして世界有数の製造業者が含まれています。この悪意あるキャンペーンへの深い調査では、攻撃の背後にいる名前のない脅威アクターが年間収益が10億ドル以上のトップベンダーに焦点を当てていることが示されています。

Hadesランサムウェアの検出

HadesおよびWastedLockerランサムウェアサンプルの悪意ある活動を検出するために、Threat Detection Marketplaceで既に利用可能な専用のSigmaルールをダウンロードできます。

Hadesランサムウェア検出 WastedLockerの新しいバリアント（registry_event経由）

ルールは以下のプラットフォームに翻訳されています：

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye Helix

MITRE ATT&CK: 

戦術：防御回避

技術：レジストリの変更 (T1112)

WastedLockerランサムウェアの検出

SIEM：Azure Sentinel、ArcSight、QRadar、Splunk、Graylog、Sumo Logic、ELK Stack、LogPoint、Humio、RSA NetWitness、FireEye Helix

EDR: Carbon Black、Microsoft Defender ATP

MITRE ATT&CK: 

戦術：防御回避、権限昇格

技術：難読化されたファイルまたは情報 (T1027)、プロセスインジェクション (T1055)

Threat Detection Marketplaceを購読し、23を超える市場をリードするSIEM、EDR、NTDRツール用の100K以上の検出アルゴリズムおよび脅威ハンティングクエリを集約する世界有数のDetection as Codeプラットフォームに参加しましょう。独自のSigmaルールを開発し、グローバルな脅威ハンティングイニシアチブに貢献したいですか？ 私たちのThreat Bounty Programに参加しましょう！