ИБ-эксперты рассказали о тактиках операторов вымогателя Hades

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

17 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

Команда исследователей в области кибербезопасности SecureWorks Counter Threat Unit (CTU) рассказала об «отличительных» тактиках, приемах и процедурах (TTP), используемых операторами вымогателя Hades. Злоумышленников связывают с финансово-мотивированной киберпеступной группировкой под названием Gold Winter.

Вымогательское ПО Hades было классифицировано исследователями из компании Crowdstrike как преемник вымогателя WastedLocker группировки Indrik Spider (также известной как Gold Drake и Evil Corp) с «дополнительной обфускацией кода и незначительными изменениями функций».

По результатам исследований, проведенных специалистами Cyber ​​Investigation and Forensic Response (CIFR) и Cyber ​​Threat Intelligence (ACTI) Accenture, по состоянию на конец марта 2021 года операторы Hades атаковали как минимум трех неназванных жертв, включая транспортно-логистическую службу США, американскую организацию по производству потребительских товаров и глобальную производственную организацию. Также была атакована логистическая компания Forward Air. В результате кибератаки с использованием вымогательского ПО транспортная компания понесла убытки в размере $7,5 млн.

Последующий анализ, опубликованный экспертами Awake Security, усилил подозрения касательно того, что под видом Hades действует APT-группировка. Эксперты ссылались на домен Hafnium, который был идентифицирован как индикатор компрометации в рамках атаки Hades. Hafnium — китайская группировка, предположительно ответственная за использование уязвимостей ProxyLogon в серверах Microsoft Exchange.

Gold Winter атакует виртуальные частные сети и протоколы удаленного рабочего стола, с целью проникнуть в компьютерные сети жертв и поддерживать доступ к средам компании. Персистентность обеспечивается с помощью таких инструментов, как Cobalt Strike. По словам исследователей, в одном случае злоумышленник замаскировал исполняемый файл Cobalt Strike под приложение графического редактора CorelDRAW.

Хакеры также используют службы обмена мгновенными сообщениями Tox для связи. Вместо одного web-сайта утечек данных жертв преступники разрабатывают отдельные Tor-сайты, адаптированные под конкретную жертву.

 

Источники[править]

Cartoon Robot.svg
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:ИБ-эксперты рассказали о тактиках операторов вымогателя Hades