INDRIK SPIDER是一个老牌犯罪组织,自2014年以来通过散播Dridex银行木马获得了数百万美元的非法牟利,随着时间的推移,INDRIK SPIDER在其主营的电汇欺诈业务中变得不再顺风顺水。2017年8月,该组织又引入了BitPaymer勒索软件,并开始专注于针对大型组织的高额勒索行为,涉及目标包括企业、政府机构、医院、行业协会等。
INDRIK SPIDER的肆虐也遭到了国家层面的打击,2015年,INDRIK SPIDER的化名子公司“Smilex”被捕,之后英国执法部门也采取了行动,瓦解了INDRIK SPIDER在Dridex活动中的洗钱网络,并将一名帮助他们建立虚假账户的英国银行雇员抓捕入狱。2019年12月,美国财政部外国资产控制办公室(OFAC)对INDRIK SPIDER也采取了行动,切断了受害组织向后者支付大额赎金的渠道,并指控该组织的两个主要成员Maksim Yakubets和Igor Turashev的罪行,美国国务院也宣布悬赏最高500万美金来获取组织核心成员的信息。
在受到OFAC制裁后,INDRIK SPIDER销声匿迹了一段时间,但这段时间并没有闲着,还在继续发展技术手段和交易手段,而最近的转变就体现在Hades勒索软件上。
2020年1月,INDRIK SPIDER重出江湖,再次利用BitPaymer攻击了多个行业的大型企业,此次行动使用Gozi ISFB变体作为payload而非以前常用的Dridex银行木马。
2020年3月到2020年5月,行动中断,之后INDRIK SPIDER推出了WastedLocker,这是BitPaymer勒索软件的后继产品。对WastedLocker和Gozi ISFB的使用标志着INDRIK SPIDER新阶段的开启。INDRIK SPIDER诱使受害者下载木马化的Cobalt Strike红队工具,并在网络内横向移动,建立对企业环境的控制后,随后执行WastedLocker展开后续勒索活动。到2020年底,已经攻击了十几个大型的组织机构(主要位于美国)。
Hades勒索软件于2020年12月首次被发现,以引导受害者访问的Tor站点命名。它是WastedLocker的64位编译的变种,两者在代码上有大量重叠,除了做额外的代码混淆和小特性的更改外,与WastedLocker大部分功能基本相同,包括受ISFB启发的静态配置、多阶段持久性/安装过程、文件/目录枚举和加密功能,差异地方在于,Hades删除了INDRIK SPIDER在以前的勒索软件家族(WastedLocker和BitPaymer)中一些独有的功能,包括:
Hades还体现了一种战术上的转变——不再使用电子邮件通信,也不再使用从受害者那里窃取机密数据获取报酬的可能性。Hades赎金票据(如图1所示)将受害者定向到Tor站点,通过赎金票据无法识别受害公司,这点在WastedLocker和BitPaymer中也经常看到。
图1. Hades勒索软件的赎金票据
Tor网站(如图2所示)对于每个受害者都是唯一的,联系方式只有一个用于与Tox点对点即时通讯的Tox标识符(https[:]// Tox [.]chat/)。
图2. Hades勒索软件的Tor站点
INDRIK SPIDER的发展已经证明,哪怕在英美等多个执法部门打压下,自身仍能保持旺盛的生命力和发展弹性,在工具改进、第三方产品的利用上不断推陈出新,同时改变支付渠道来绕过制裁限制,为美国大型企业组织的安全性带来了一定挑战。
本文翻译自:
https://www.crowdstrike.com/blog/hades-ransomware-successor-to-indrik-spiders-wastedlocker/
1.爱上你就想爱上了一盆仙人掌,随时都有可能被它刺伤。 2.世界上最痛苦的事就...
2021年在哪个方向投资,又应该把资金放在哪里?以及如何花时间并在不工作时仍然能...
数据表明,到2021年,三分之一的尼日利亚人会持有或使用加密资产。该分析表明,...
3月29日,印度移动支付服务商MobiKwik 8.2TB 数据在暗网出售,泄露的数据涉及350...
在智能的数字化时代,人们正在力求通过数字孪生技术在网络空间中构建一个与物理...
在无数个向厂商提交漏洞的日子里, 以下的场景你是否似曾相识? 被厂商白嫖:这根...
央行又成立一家科技子公司 1月27日,中国人民银行旗下成方金融信息技术服务有限...
1.原来,一个人真的会变成自己曾经最反感的样子。 2.是你让我知道,想要保护那些...
1.我赌上了一辈子的幸福,却发现原来你一直都希望我输。 2.我也曾默念一个人的...
根据Financial Express最新消息,印度财政部长Anurag Singh Thakur表示,由于任...