网络安全研究人员周二披露了 Hades 勒索软件运营商采用的“独特”策略、技术和程序 （TTP），使其与其他同类软件区别开来，并将其归因于一个名为 GOLD WINTER 的出于经济动机的黑客组织。

　　SecureWorks Counter Threat Unit （CTU） 的研究人员在一份报告https://www.secureworks.com/blog/hades-ransomware-operators-use-distinctive-tactics-and-infrastructure中表示：“在许多方面，GOLD WINTER 黑客组织是典型的”侵入后勒索软件（post-intrusion ransomware）“勒索软件组织，他们追求高价值目标，以最大限度地从受害者那里勒索赎金。然而，GOLD WINTER 的运营有一些怪癖，这将它与其他组织区分开来。”

　　这些发现来自于这家总部位于亚特兰大的网络安全公司在2021年第一季度进行的一项事件响应研究。

　　根据 Crowdstrike 的说法，自 2020 年 12 月首次出现在黑客领域以来，Hades 已被归类为 老牌网络犯罪集团INDRIK SPIDER开发的WastedLocker 勒索软件的迭代产品，Hades具有额外的代码混淆和细微的功能更改。INDRIK SPIDER也被称为 GOLD DRAKE 和 Evil Corp，是一个复杂的网络犯罪集团，因在 2017 年至 2020 年期间运营名为 Dridex 的银行木马以及传播 BitPaymer 勒索软件而臭名昭著。

　　根据埃森哲网络调查和取证响应 （CIFR） 和网络黑客情报 （ACTI） 团队的研究，截至 2021 年 3 月下旬，WastedLocker 迭代的勒索软件已经影响了至少三家公司，其中包括一家美国运输和物流公司组织、美国消费品组织和全球制造组织。早在 2020 年 12 月，货运巨头 Forward Air 就被攻击过。2020年12月15日，Forward Air Corporation检测到一个勒索软件事件，影响了其运营和信息技术系统，导致许多客户的服务延迟。在发现该事件后，公司立即启动响应协议，展开调查，并聘请网络安全和取证专业人员提供服务。这次攻击背后的Hades勒索软件团伙大约在一周前开始以人工攻击企业的方式开始运作。

　　加密受害者的文件时，攻击者将创建一个名为“HOW-TO-DECRYPT- [extension] .txt”的赎金通知，该通知与REvil勒索软件的类似，随后，Awake Security 发布的一项分析提出了高级黑客攻击者可能以 Hades 为幌子进行操作的可能性，引用了 Hafnium 域，该域被确定为 Hades 攻击时间线内的攻击指标。Hafnium是今年早些时候对易受攻击的 Exchange 服务器发起的 ProxyLogon 攻击的幕后黑手。

　　Secureworks 表示，该黑客组织使用与其他勒索软件运营商无关的 TTP，表示地下黑市和市场中没有 Hades 可能意味着 Hades 作为自定义勒索软件而不是勒索软件即服务 （RaaS） 运营。

　　GOLD WINTER 的目标是虚拟专用网络和远程桌面协议，以获得初始立足点并保持对受害环境的访问，使用它通过 Cobalt Strike 等工具实现持久性。研究人员说，在一个示例中，攻击者将 Cobalt Strike 可执行文件伪装成 CorelDRAW 图形编辑器应用程序，以掩盖文件的攻击属性。

　　在第二个示例中，Hades 被发现利用 SocGholish 恶意软件（通常与 GOLD DRAKE 组织相关）作为初始访问媒介。在这种攻击中，用户被诱骗访问受感染的网站，使用社会工程主题模拟浏览器更新以在没有用户干预的情况下触发恶意下载。

　　Hades复制了其他竞争组织（如 REvil 和 Conti）的赎金票据的模式。

　　另一种新技术涉及使用 Tox 即时消息服务进行通信，更不用说使用为每个受害者量身定制的基于 Tor 的网站，而不是利用集中式泄漏网站来暴露从受害者那里窃取的数据。每个网站都包含一个特定于受害者的 Tox 聊天 ID，用于通信。

　　勒索软件组织通常是投机取巧的，他们瞄准任何可能受到勒索并可能支付赎金的组织。然而，GOLD WINTER 对北美大型制造商的攻击表明，该集团是一个专门寻找高价值目标的组织。