专家们解释了哈迪斯勒索软件使用的独特策略

周二，网络安全研究人员披露了哈迪斯勒索软件运营商采用的“独特”战术、技术和程序（TTP），将其与其他勒索软件区分开来，并将其归因于一个名为“黄金冬天”的出于财务动机的威胁组织。

“在很多方面，黄金冬季威胁组织是一个典型的入侵后勒索软件威胁组织，它追求高价值的目标，以最大限度地提高它可以从受害者那里勒索多少钱，”SecureWorks反威胁部门（CTU）的研究人员在与《黑客新闻》分享的分析中说。“然而，黄金之冬的运营有着不同于其他集团的怪癖。”

The findings come from a study of incident response efforts the Atlanta-based cybersecurity firm engaged in the first quarter of 2021.

自2020年12月首次出现在威胁领域以来，Hades一直被列为INDRIK SPIDER对WastedLocker勒索软件的继承者，每一次Crowdstrike都有“额外的代码混淆和细微的功能更改”。INDRIK SPIDER，又名GOLD DRAKE and Evil Corp，是一个复杂的Ecrome集团，因在2017年至2020年间操作名为Dridex的银行特洛伊木马以及分发BitPaymer勒索软件而臭名昭著。

根据埃森哲的网络调查和法医反应（CIFR）和网络威胁情报（ACTI）小组的研究发现，垃圾桶衍生的勒索毒株已经影响到至少2021年3月的三名受害者，其中包括美国运输和物流组织，美国消费品组织，以及一个全球性的制造组织。卡车运输巨头Forward Air早在2020年12月就被发现是目标。

Secureworks称，威胁组织使用与其他勒索软件运营商无关的TTP，地下论坛和市场上没有哈迪斯可能意味着哈迪斯是作为私人勒索软件而不是勒索软件即服务（RaaS）运营的。

GOLD WINTER的目标是虚拟专用网络和远程桌面协议，以获得初始立足点，并维护对受害者环境的访问，利用它通过Cobalt Strike等工具实现持久性。研究人员说，在一个例子中，对手将Cobalt Strike可执行文件伪装成CorelDRAW图形编辑器应用程序，以掩盖文件的真实性质。

在第二个案例中，哈迪斯被发现利用了Soggholish恶意软件—；通常与金德雷克集团—；作为初始访问向量。Soggholish指的是一种驾车攻击，其中用户被诱骗使用社交工程主题访问受感染的网站，该主题模拟浏览器更新，在没有用户干预的情况下触发恶意下载。

有趣的是，哈迪斯展示了一种复制其他敌对组织（如REvil和Conti）赎金记录的模式，这似乎是一种误导归属或“向受尊敬的勒索软件家族致敬”的尝试。

另一种新技术涉及使用Tox即时通讯服务进行通信，更不用说使用为每个受害者量身定制的基于Tor的网站，而不是利用一个集中的泄密网站暴露从受害者那里窃取的数据。研究人员说：“每个网站都包含一个特定于受害者的Tox聊天ID，用于交流。”。

研究人员指出：“勒索软件组织通常是机会主义的：他们针对的是任何可能容易遭受勒索并可能支付勒索的组织。”。“然而，GOLD WINTER对北美大型制造商的攻击表明，该集团是专门寻找高价值目标的‘大型猎手’。”