Pakar Menjelaskan Taktik Khas yang Digunakan oleh Hades Ransomware

  • Whatsapp
Pakar Menjelaskan Taktik Khas yang Digunakan oleh Hades Ransomware

Peneliti keamanan siber pada hari Selasa mengungkapkan taktik, teknik, dan prosedur (TTP) “khas” yang diadopsi oleh operator ransomware Hades yang membedakannya dari paket lainnya, menghubungkannya dengan kelompok ancaman bermotivasi finansial yang disebut MUSIM DINGIN EMAS.

“Dalam banyak hal, kelompok ancaman GOLD WINTER adalah kelompok ancaman ransomware pasca-intrusi khas yang mengejar target bernilai tinggi untuk memaksimalkan berapa banyak uang yang dapat diperas dari korbannya,” kata peneliti dari SecureWorks Counter Threat Unit (CTU) dalam sebuah analisis dibagikan dengan The Hacker News. “Namun, operasi GOLD WINTER memiliki keunikan yang membedakannya dari grup lain.”

Bacaan Lainnya

Temuan ini berasal dari studi tentang upaya respons insiden yang dilakukan perusahaan keamanan siber yang berbasis di Atlanta pada kuartal pertama tahun 2021.

Tim Stack Overflow

Sejak pertama kali muncul di lanskap ancaman pada Desember 2020, Hades telah diklasifikasikan sebagai penerus INDRIK SPIDER untuk loker terbuang ransomware dengan “kebingungan kode tambahan dan perubahan fitur kecil”, per pemogokan massa. INDRIK SPIDER, juga dikenal sebagai DRAKE EMAS dan Evil Corp, adalah grup eCrime canggih yang terkenal karena mengoperasikan trojan perbankan bernama Dridex serta mendistribusikan ransomware BitPaymer antara 2017 dan 2020.

Strain ransomware yang diturunkan dari WastedLocker telah ditemukan berdampak pada setidaknya tiga korban pada akhir Maret 2021, menurut penelitian oleh tim Cyber ​​Investigation and Forensic Response (CIFR) dan Cyber ​​Threat Intelligence (ACTI) Accenture, termasuk organisasi transportasi dan logistik AS, organisasi produk konsumen AS, dan organisasi manufaktur global. Raksasa truk Udara Maju diturunkan menjadi target pada Desember 2020.

Kemudian analisis selanjutnya diterbitkan oleh Sedarlah Keamanan meningkatkan kemungkinan bahwa aktor ancaman tingkat lanjut mungkin beroperasi dengan kedok Hades, mengutip domain Hafnium yang diidentifikasi sebagai indikator kompromi dalam garis waktu serangan Hades. Hafnium adalah nama yang diberikan oleh Microsoft untuk aktor negara-bangsa China yang dikatakan perusahaan berada di balik serangan ProxyLogon pada Server Exchange yang rentan awal tahun ini.

Menyatakan bahwa kelompok ancaman menggunakan TTP yang tidak terkait dengan operator ransomware lain, Secureworks mengatakan tidak adanya Hades dari forum dan pasar bawah tanah dapat berarti bahwa Hades dioperasikan sebagai ransomware pribadi daripada ransomware-as-a-service (RaaS).

GOLD WINTER menargetkan jaringan pribadi virtual dan protokol desktop jarak jauh untuk mendapatkan pijakan awal dan mempertahankan akses ke lingkungan korban, menggunakannya untuk mencapai kegigihan melalui alat seperti Cobalt Strike. Dalam satu contoh, musuh menyamarkan Cobalt Strike yang dapat dieksekusi sebagai aplikasi editor grafis CorelDRAW untuk menutupi sifat sebenarnya dari file tersebut, kata para peneliti.

Manajemen Kata Sandi Perusahaan

Dalam kasus kedua, Hades ditemukan memanfaatkan SocGholish malware — biasanya terkait dengan grup GOLD DRAKE — sebagai vektor akses awal. SocGholish mengacu pada serangan drive-by di mana pengguna ditipu untuk mengunjungi situs web yang terinfeksi menggunakan tema rekayasa sosial yang meniru pembaruan browser untuk memicu unduhan berbahaya tanpa campur tangan pengguna.

Menariknya, dalam apa yang tampaknya merupakan upaya untuk menyesatkan atribusi atau “menghormati keluarga ransomware yang dikagumi,” Hades telah menunjukkan pola duplikasi uang tebusan dari kelompok saingan lainnya seperti REvil dan Conti.

Teknik baru lainnya melibatkan penggunaan Pesan instan Tox layanan komunikasi, belum lagi penggunaan situs web berbasis Tor yang disesuaikan untuk masing-masing korban dibandingkan dengan penggunaan situs kebocoran terpusat untuk mengekspos data yang dicuri dari korbannya. “Setiap situs web menyertakan ID obrolan Tox khusus korban untuk komunikasi,” kata para peneliti.

“Kelompok Ransomware biasanya oportunistik: mereka menargetkan organisasi mana pun yang rentan terhadap pemerasan dan kemungkinan akan membayar uang tebusan,” catat para peneliti. “Namun, serangan GOLD WINTER terhadap pabrikan besar yang berbasis di Amerika Utara menunjukkan bahwa grup tersebut adalah ‘pemburu permainan besar’ yang secara khusus mencari target bernilai tinggi.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *