TTP Unik Menghubungkan Hades Ransomware ke Grup Ancaman Baru

TTP Unik Menghubungkan Hades Ransomware ke Grup Ancaman Baru

 

Para peneliti mengklaim telah mengungkap asal-usul operator Hades ransomware, serta taktik, metode, dan prosedur (TTP) unik yang mereka gunakan dalam serangan mereka.
Ransomware Hades awalnya muncul pada Desember 2020, menyusul serangkaian serangan terhadap berbagai institusi, tetapi informasi terbatas tentang pelakunya telah dirilis hingga saat ini.
Gold Winter telah diidentifikasi sebagai kelompok ancaman di balik ransomware Hades, menurut Counter Threat Unit (CTU) Secureworks. Mereka juga mengungkapkan data tentang tindakan Gold Winter yang membedakannya dari organisasi ancaman serupa lainnya, menyiratkan bahwa itu adalah “pemburu permainan besar” yang didorong secara finansial, kemungkinan besar berbasis di Rusia setelah target bernilai tinggi, terutama manufaktur Amerika Utara.
Para peneliti menyatakan, “Beberapa pelaporan pihak ketiga mengaitkan Hades dengan kelompok ancaman Hafnium, tetapi penelitian CTU tidak mendukung atribusi itu.”
“Pelaporan lain mengaitkan Hades dengan kelompok ancaman Gold Drake yang bermotivasi finansial berdasarkan kesamaan dengan ransomware WastedLocker kelompok itu. Meskipun penggunaan panggilan antarmuka pemrograman aplikasi (API) serupa, crypter CryptOne, dan beberapa perintah yang sama, peneliti CTU mengaitkan Hades dan WastedLocker ke dua kelompok berbeda pada publikasi ini”
Menurut para peneliti, penyelidikan Gold Winter menunjukkan TTP yang tidak ditemukan di keluarga ransomware lain, dengan beberapa yang menunjukkan kemiripan tetapi dengan karakteristik yang tidak biasa ditambahkan.
Sesuai para peneliti, GoldWinter:
– Ini menamai dan mempermalukan korban, tetapi tidak menggunakan situs kebocoran terpusat untuk mempublikasikan informasi yang dicuri. Sebaliknya, situs web Hades berbasis Tor tampaknya dipersonalisasi untuk setiap korban, termasuk ID obrolan Tox khusus korban untuk percakapan. Pesan instan Tox adalah teknik yang belum pernah dilihat peneliti CTU di keluarga ransomware lainnya.
– Terkenal karena menyalin catatan tebusan dari keluarga terkenal lainnya seperti REvil dan Conti, mengganti halaman web dengan alamat email kontak, dan menambahkan pengidentifikasi korban yang unik.
– Mengganti string lima karakter yang dibuat secara acak untuk ID korban dan ekstensi file terenkripsi dengan kata-kata—misalnya, cypherpunk.
– Malware SocGholish yang menyamar sebagai pembaruan Chrome palsu dan akses VPN autentikasi satu faktor digunakan sebagai vektor akses pertama.
– Menghapus salinan bayangan volume menggunakan perintah “vssadmin.exe Delete Shadows/All/Quiet” tetapi menggunakan perintah penghapusan otomatis yang khas dengan penyertaan perintah “tunggu” yang tidak biasa.
Marcelle Lee, peneliti keamanan senior, CTU-CIC di Secureworks, mengatakan kepada CSO, “Biasanya ketika kami melihat berbagai buku pedoman yang digunakan di sekitar ransomware tertentu, ini menunjuk pada ransomware yang dikirimkan sebagai ransomware-as-a-service (RaaS) dengan berbagai kantong aktor ancaman menggunakan metode mereka sendiri. Namun, kami tidak berpikir demikian halnya dengan Hades.” Kemungkinan besar Gold Winter beroperasi sebagai grup ransomware pribadi, tambahnya.
Ada juga kemungkinan bahwa Musim Dingin Emas telah diorganisir oleh kelompok ancaman lain untuk membuang penegak hukum dan peneliti dari jejak mereka, Lee melanjutkan.
Untuk Hades, Lee menyarankan untuk mengadopsi strategi pertahanan dan mitigasi ransomware yang umum: Menerapkan solusi deteksi dan respons titik akhir, serta otentikasi multi-faktor untuk perangkat yang terhubung ke internet dan untuk aplikasi pengguna, serta manajemen aset yang efisien. Dia juga menyarankan manajemen tambalan yang efisien dan keanggotaan untuk intelijen ancaman yang disesuaikan untuk meningkatkan kesadaran akan bahaya yang muncul dan memiliki rencana dan tim insiden yang teruji.

Pos terkait