介绍
INDRIK SPIDER自2014年以来,它一直是一个老犯罪组织Dridex随着时间的推移,银行木马获得了数百万美元的非法利润,INDRIK SPIDER其主要的电汇欺诈业务已不再顺利。2017年8月,该组织再次引入BitPaymer勒索软件开始专注于企业、 *** 机构、医院、行业协会等大型组织的高勒索行为。
INDRIK SPIDER2015年,INDRIK SPIDER化名子公司“Smilex”被捕后,英国执法部门也采取了行动,瓦解了INDRIK SPIDER在Dridex一名帮助他们建立虚假账户的英国银行员工虚假账户的英国银行员工。2019年12月,控制办公室(OFAC)对INDRIK SPIDER采取行动,切断受害者向后者支付大额赎金的渠道,并指控该组织的两名主要成员Maksim Yakubets和Igor Turashev美国国务院还宣布,更高奖励500万美元获取组织核心成员的信息。
在受到OFAC制裁后,INDRIK SPIDER消失了一段时间,但这段时间并没有闲着,技术手段和交易手段还在继续发展,最近的变化体现在Hades在勒索软件上。
INDRIK SPIDER的转变
2020年1月,INDRIK SPIDER回到江湖,再利用BitPaymer该行动攻击了多个行业的大型企业Gozi ISFB变体作为payload而不是以前常用的Dridex银行木马。
20202020年3月至5月,行动中断,之后INDRIK SPIDER推出了WastedLocker,这是BitPaymer勒索软件的后继产品。WastedLocker和Gozi ISFB使用标志INDRIK SPIDER新阶段的开启。INDRIK SPIDER诱使受害者下载木马化Cobalt Strike红队工具在 *** 中横向移动,控制企业环境,然后执行WastedLocker开展后续勒索活动。到2020年底,已经攻击了十几个大型组织(主要位于美国)。
从WastedLocker到Hades
Hades为了引导受害者访问,勒索软件于2020年12月首次被发现。Tor站点命名。它是WastedLocker64位编译的变体在代码上有很多重叠,除了额外的代码混淆和小特征的变化WastedLocker大多数功能基本相同,包括受ISFB静态配置、多阶段持久性/安装过程、文件/目录枚举和加密功能的区别在于,Hades删除了INDRIK SPIDER以前的勒索软件家族(WastedLocker和BitPaymer)包括:
- Hades64位编译可执行文件具有附加代码混淆功能,旨在避免签名检测和阻碍逆向分析。
- 大多数标准文件和注册表Windows API调用已被相应的系统调用所取代(即从NTDLL本机导出用户模式API)。
- Hades用户帐户控制(UAC)绕过方式与WastedLocker不同的用途,但这两种实现直接来自开源UACME项目https[:]//github[.]com/hfiref0x/UACME。
- Hades会将名为HOW-TO-DECRYPT-[extension].txt赎金票据写入遍历目录,WastedLocker和BitPaymer则是为每个加密文件创建票据。
- Hades在每个加密文件中存储密钥信息,WastedLocker和BitPaymer在特定文件的赎金票据中存储编码和加密的密钥信息。
- Hades还是复制自己Application Data但不再使用中生成子目录:bin交换数据流(ADS),对:bin ADS使用路径WastedLocker和BitPaymer的特征。
Hades它还反映了战术上的转变——不再使用电子邮件通信,也不再使用从受害者那里窃取机密数据获得报酬的可能性。Hades赎金票据(如图1所示)定向受害者Tor该网站无法通过赎金票据识别受害公司WastedLocker和BitPaymer也经常看到。
图1. Hades赎金票据的勒索软件
Tor对于每个受害者来说,网站(如图2所示)是唯一的,只有一个联系方式可以用之交往Tox点对点即时通讯Tox标识符(https[]// Tox [.]chat/)。
图2. Hades勒索软件的Tor站点
结论
INDRIK SPIDER发展证明,即使在英国、美国等执法部门的压力下,仍能保持强大的活力和发展灵活性,在工具改进、第三方产品使用,同时改变支付渠道绕过制裁限制,给大型企业组织的安全带来了一定的挑战。
本文翻译自:
https://www.crowdstrike.com/blog/hades-ransomware-successor-to-indrik-spiders-wastedlocker/