La banda de ransomware Hades tiene varias características únicas que la distinguen del resto del paquete, según los investigadores, incluida la posibilidad de tener más que extorsión en la lista de tareas pendientes. El grupo parece utilizar múltiples herramientas y técnicas del estado-nación.
Los investigadores dijeron que sus investigaciones sobre los ataques cibernéticos del grupo a fines de 2020 sugieren una de dos posibilidades: hay una amenaza persistente avanzada (APT) que está operando bajo el disfraz de Hades, posiblemente Hafnium; o, varios grupos diferentes comprometieron coincidentemente los mismos entornos, “potencialmente debido a prácticas de seguridad débiles en general”.
En un ataque de ransomware de Hades, el equipo de Awake identificó un dominio de Hafnium como un indicador de compromiso dentro de la línea de tiempo del ataque de Hades.
Hafnium es una APT que se cree que le agrada al gobierno chino, que Microsoft identificó como que lleva a cabo ataques de día cero en los servidores de Microsoft Exchange utilizando el grupo de vulnerabilidades ahora conocido como ProxyLogon.
Los investigadores de Awake también encontraron evidencia de otros actores de amenazas dentro de algunos entornos de víctimas de Hades.
Por ejemplo, en varios casos se observaron artefactos que apuntaban al grupo de ransomware TimosaraHackerTerm (THT) (que lleva el nombre de una ciudad en Rumanía), probablemente abandonados unas semanas antes del ataque de Hades. Según Awake, estos incluyeron:
- Se utilizó VSS Admin para borrar instantáneas de la máquina local
- Se utilizó Bitlocker o BestCrypt (bcfmgr) para el cifrado en las máquinas locales.
- Se realizó una conexión IP externa a Rumania IP 185 [.] 225 [.] 19 [.] 240
- Para los indicadores de compromiso THT (IoC), la dirección IP mencionada de Rumania se observó entre octubre y noviembre con comportamiento malicioso y asociada con dos nuevos archivos rastreados en VirusTotal.
Según el análisis de Awake, la pandilla Hades parece ser exigente con sus objetivos y principalmente persigue a las organizaciones con un enfoque en la fabricación, especialmente aquellas en la cadena de suministro automotriz, así como aquellas con productos de aislamiento.
“Las ubicaciones del ataque estaban ligeramente dispersas ya que cada una de las empresas era global en sus huellas operativas”, según Awake. “Si bien estas organizaciones se vieron afectadas en múltiples geografías, tenemos pruebas que sugieren que el ataque de ransomware se centró en … Canadá, Alemania, Luxemburgo, México y Estados Unidos”.
El grupo de víctimas conocidas es pequeño, y el análisis de Awake encontró que Hades pidió entre $ 5 y $ 10 millones en rescate. Sin embargo, las víctimas dijeron que Hades tardó en responder en las negociaciones.
“En algunos casos, es posible que no hayan respondido en absoluto”, según el análisis. “De hecho, un usuario de Twitter incluso afirmó que [Hades] nunca responde. Si solo se atacaran unas pocas organizaciones, ¿por qué tomaría tanto tiempo responder a las solicitudes de rescate? ¿Hubo otro motivo potencial aquí? “
El conjunto de herramientas y los enfoques de Hades incluyen varios que a menudo utilizan los actores de amenazas relacionados con el espionaje, según Awake Labs.
Por ejemplo, los investigadores dijeron que el grupo aprovechó las cuentas válidas en todos los entornos de las víctimas, incluidas las cuentas de servicio y las cuentas de administrador de privilegios que utilizó el actor de la amenaza.
“También somos conscientes de al menos un entorno en el que se utilizó Mimikatz como método para extraer credenciales”, según la publicación. “Este era el mismo entorno con el archivo winexesvc.exe en el sistema Exchange donde se identificó el dominio de Hafnium”.
Luego, Hades se movió lateralmente de un sistema a otro a través de dominios para acceder y preparar archivos para la exfiltración.
“Los actores de Hades buscaron bases de datos y sistemas de archivos locales para encontrar archivos de interés y datos confidenciales antes de la exfiltración”, dijeron los investigadores de Awake. “También buscaron y recopilaron datos de redes compartidas en sistemas remotos. Los objetivos comunes de esto eran directorios compartidos accesibles en servidores de archivos. Awake identificó estas actividades en varios sistemas mediante el análisis del artefacto de registro ShellBags “.
