Novo Ransomware Hades Atinge Principais Fornecedores dos EUA
Índice:
Pesquisadores de segurança descobriram uma campanha maliciosa em andamento visando grandes empresas dos EUA com o ransomware Hades. Pelo menos três fornecedores dos EUA foram atingidos por um ator desconhecido com motivação financeira desde dezembro de 2020.
O Que É Ransomware Hades?
Descoberto pela primeira vez no final de 2020, o ransomware Hades é um novo participante na arena de ameaças. O malware foi nomeado em homenagem a um site oculto dedicado na rede Tor, utilizado para contatar as vítimas após a intrusão. Notavelmente, uma nova variante de Hades recém-emergida não tem nada em comum com o familia de malware Hades Locker revelada em 2016.
De acordo com a análise da CrowdStrike, o Hades é um sucessor compilado de 64 bits do WastedLocker, aprimorado com a capacidade de escapar de detecções baseadas em assinatura e realizar engenharia reversa. Ambas as variantes de malware compartilham o mesmo código e funcionalidade, exceto por pequenas diferenças em táticas e ferramentas. Por exemplo, o Hades aplica um bypass de Controle de Conta de Usuário (UAC) diferente do WastedLocker, no entanto, ambos foram retirados do mesmo projeto de código aberto UACME. Outras discrepâncias são insignificantes e se referem à maneira de armazenar informações chave e entrega de notas de resgate. A única coisa que significativamente diferencia o Hades do WastedLocker refere-se à maneira como os operadores de ransomware se comunicam com suas vítimas. Em particular, os mantenedores do Hades abandonaram a comunicação por email e mudaram para websites ocultos no Tor, exclusivos para cada vítima.
Especialistas em segurança da CrowdStrike acreditam que a Gangue Evil Corp (Dridex, INDRIK SPIDER) pode estar por trás do desenvolvimento do ransomware Hades. Presumivelmente, a gangue mudou para o Hades para evitar sanções do Departamento do Tesouro dos Estados Unidos no Office of Foreign Assets Control (OFAC) que foram postas em ação em dezembro de 2019 para responsabilizar cibercriminosos por perdas financeiras superiores a $100 milhões causadas pelo Trojan Dridex. Agora, todas as vítimas que pagaram o resgate para desbloquear seus dados de BitPaymer or WastedLocker (amostras de ransomware usadas pela Evil Corp no passado) também são consideradas como as que violam as sanções. Portanto, para não perder possíveis ganhos financeiros e evitar ações legais, a Evil Corp desenvolveu o novo ransomware Hades.
Hades Ataca Principais Empresas dos EUA
The relatório das equipes de Investigação Cibernética & Resposta Forense (CIFR) e de Inteligência de Ameaças Cibernéticas (ACTI) da Accenture revela que pelo menos três fornecedores baseados nos EUA sofreram ataques do Hades. A lista de vítimas inclui uma empresa de transporte, um varejista de produtos de consumo e um fabricante líder mundial. O mergulho profundo nesta campanha maliciosa indica que o ator de ameaça não identificado por trás dos ataques está focado em grandes fornecedores com pelo menos $1 bilhão em receita anual.
A análise da cadeia de morte do ataque mostra que o ransomware Hades usa o Protocolo de Desktop Remoto (RDP) ou a Rede Privada Virtual (VPN) para a intrusão inicial, aproveitando-se de credenciais legítimas. Além disso, os adversários confiam no Cobalt Strike e Empire para comunicação de comando e controle (C&C), movimento lateral e persistência. Para passar despercebidos e evadir detecções pelos motores de antivírus (AV), os atores da ameaça usam scripts batch customizados e ferramentas adicionais para bloquear serviços AV e EDR, limpar logs de eventos, prevenir registros de auditoria do Windows, e mais. Nos estágios mais avançados da intrusão, os operadores de malware implantam o ransomware Hades para criptografar os dados das vítimas e usam a utilidade 7zip para arquivar e transferir informações sensíveis roubadas para o servidor C&C sob o controle do atacante. Isso é feito para extorsão dupla, que atualmente é uma abordagem de tendência superior na arena de ransomware.
Detecção de Ransomware Hades
Para detectar a atividade maliciosa das amostras de ransomware Hades e WastedLocker, você pode baixar regras Sigma dedicadas já disponíveis no Threat Detection Marketplace.
Detecção do Ransomware Hades Nova Variante do WastedLocker (via registry_event)
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
Táticas: Evasão de Defesa
Técnicas: Modificar Registro (T1112)
Detecção de Ransomware WastedLocker
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Carbon Black, Microsoft Defender ATP
MITRE ATT&CK:
Táticas: Evasão de Defesa, Escalação de Privilégio
Técnicas: Arquivos ou Informações Ofuscadas (T1027), Injeção de Processo (T1055)
Inscreva-se no Threat Detection Marketplace, uma plataforma líder mundial de Detecção como Código que agrega mais de 100K algoritmos de detecção e consultas de caça à ameaças para mais de 23 ferramentas líderes de mercado em SIEM, EDR e NTDR. Ansioso para desenvolver suas próprias regras Sigma e contribuir para iniciativas globais de caça a ameaças? Junte-se ao nosso Programa de Caça a Ameaças!
