[15/06/2021] Investigadores afirman haber descubierto la identidad de los operadores del ransomware Hades, exponiendo las tácticas, técnicas y procedimientos (TTP) distintivos que emplean en sus ataques. El ransomware Hades apareció por primera vez en diciembre del 2020 tras los ataques a una serie de organizaciones, pero hasta la fecha ha habido poca información sobre los autores.
Hoy, los investigadores de la Unidad de Lucha contra las Amenazas (CTU) de Secureworks han señalado a Gold Winter como el grupo de amenazas que está detrás del ransomware Hades. Además, compartieron detalles de rasgos notables en las operaciones de Gold Winter que lo distinguen de otros grupos de amenazas de este tipo y sugieren que es un "cazador de caza mayor" con motivación financiera, probablemente con base en Rusia, que busca objetivos de alto valor, principalmente fabricantes con base en Norteamérica.
Los hallazgos son el resultado de los compromisos de respuesta a incidentes llevados a cabo por Secureworks en el primer trimestre del 2021. "Algunos informes de terceros atribuyen Hades al grupo de amenazas Hafnium, pero la investigación de la CTU no apoya esa atribución", escribieron los investigadores. "Otros informes atribuyen Hades al grupo de amenazas Gold Drake, motivado por las finanzas, basándose en las similitudes con el ransomware WastedLocker de ese grupo. A pesar del uso de llamadas similares a la interfaz de programación de aplicaciones (API), el crypter CryptOne, y algunos de los mismos comandos, los investigadores de la CTU atribuyen Hades y WastedLocker a dos grupos distintos a partir de esta publicación".
TTPs únicos del ransomware Hades y Gold Winter
El análisis de Gold Winter descubrió TTPs no asociados con otras familias de ransomware, explicaron los investigadores, con algunos que muestran similitudes, pero con aspectos inusuales añadidos. Los investigadores de la CTU revelaron que Gold Winter
- Nombra y avergüenza a las víctimas, pero no utiliza un sitio de filtración centralizado para exponer los datos robados. En su lugar, los sitios web de Hades, basados en Tor, parecen estar personalizados para cada víctima y cada sitio web incluye un ID de chat Tox específico para la víctima para las comunicaciones. El uso de la mensajería instantánea Tox para las comunicaciones es una técnica que los investigadores de la UAT no han observado en otras familias de ransomware.
- Se sabe que copia las notas de rescate de otras familias de alto perfil, como REvil y Conti, añadiendo identificadores únicos de las víctimas y sustituyendo los sitios web por direcciones de correo electrónico de contacto. "Gold Winter puede utilizar notas de rescate parecidas para confundir a los investigadores, o quizás para rendir homenaje a admiradas familias de ransomware", escribieron los investigadores.
- Sustituye cadenas de cinco caracteres generadas aleatoriamente para el ID de la víctima y la extensión del archivo cifrado por palabras, por ejemplo, "cypherpunk". "Basándose en la definición de este término, quizás los actores de la amenaza ven su actividad de ransomware como una forma de incitar a las organizaciones a mejorar su seguridad", añadieron los investigadores.
- Utiliza dos vectores de acceso iniciales distintos: El malware SocGholish disfrazado de una falsa actualización de Chrome y el acceso a la VPN con autenticación de factor único.
- Elimina las instantáneas de volumen mediante el comando "vssadmin.exe Delete Shadows/All/Quiet", pero utiliza un comando de autoeliminación distintivo con una inclusión inusual de un comando "wait for".
- Golden Winter probablemente sea un grupo privado de ransomware, no RaaS
En declaraciones a CSO, Marcelle Lee, investigadora de seguridad senior de CTU-CIC en Secureworks, afirmó: "Normalmente, cuando vemos una variedad de libros de jugadas utilizados en torno a un ransomware en particular, esto apunta a que el ransomware se entrega como ransomware como servicio (RaaS) con diferentes bolsas de actores de amenazas que utilizan sus propios métodos. Sin embargo, no creemos que ese sea el caso de Hades". Lo más probable es que Gold Winter opere como un grupo privado de ransomware, añade.
También es posible que Gold Winter haya sido organizado por otro grupo de amenazas para despistar a las fuerzas del orden y a los investigadores, continúa Lee. "En ese caso, los actores de la amenaza podrían estar intentando intencionadamente encontrar formas de parecer diferentes. Alternativamente, y lo más probable, las técnicas podrían reflejar simplemente una evolución en el libro de jugadas del grupo de amenazas, utilizando nuevas tácticas y capacidades".
Lee aconseja utilizar las estrategias comunes de defensa y mitigación del ransomware para Hades: Implementar una solución de detección y respuesta de puntos finales, autenticación de múltiples factores en los dispositivos orientados a Internet y para las aplicaciones de los usuarios, y una gestión eficaz de los activos. También recomienda una gestión eficaz de los parches, la suscripción a la inteligencia de amenazas curada para impulsar la conciencia de las amenazas emergentes, y tener un plan de incidentes probado y un equipo en el lugar.
Basado en el artículo de Michael Hill (CSO) y editado por CIO Perú