一个未知的威胁组织正在部署一种哈迪斯的变种,对美国大型游戏进行有针对性的攻击。
上周五,埃森哲的网络调查&;法医反应(CIFR)和网络威胁情报(ACTI)团队发布https://www.accenture.com/us-en/blogs/cyber-defence/unknown-threat-group-using-hades-ransomware“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>对最新冥府战役的分析最小2020年12月至本月。
据网络安全研究人员称,至少有三家主要公司成功地遭到勒索软件的攻击,其中包括一家运输和物流公司、一家消费品零售商,全球制造商。WordPress Plugin在Facebook中修补了严重漏洞
渗透系统,或者虚拟专用网(VPN)使用合法的凭证进行设置,这些凭证可以通过暴力攻击或窃取的数据转储获得。</p><p>一旦哈迪斯登陆到受害者的机器上,它就会创建一个自己的副本,并通过命令行重新启动自己。然后删除“备用”副本,并在内存中解压可执行文件。然后在本地目录和网络共享中执行扫描,以查找要加密的内容,但每个Hades示例都使用不同的扩展名。</p><p>勒索说明,“HOW-to-DECRYPT-[extension].txt,“然后丢在机器上。</p><p>通过冥府获得的勒索软件笔记样本直接让受害者安装Tor,似乎为每个目标生成了一个唯一的地址。总共有六个被追踪到,这可能意味着进一步感染。</p><figure class=“image original shortcode image”><span class=“img aspect set”style=“padding bottom:35%”><img src=https://www.zdnet.com/a/hub/i/r/2021/03/25/81a9e036-684a-4dc2-abe393464bd2/resize/1200xauto/5864f69dc5e5512d284111f5128e8c9b/screenshot-2021-03-25-at-13-45-37.png“class=”“alt=“screenshot-2021-03-25-at-13-45-37.png”height=“auto”width=“1200”></span><figcaption><span class=“caption”><p></span></figcaption></figure><p>哈迪斯集团和REvil勒索软件运营商使用的勒索笔记之间的相似之处。<a href=”https://www.crowdstrike.com/blog/hades-ransomware-succession-to-indrik-spiders-wastedlocker/“target=”\u blank“rel=”noopener noreferrer nofollow“data component=”externalLink“>CrowdStrike认为冥王是<a href=”的继承者https://www.zdnet.com/article/new-wastedlocker-ransomware-demands-payments-of-数百万美元/" target=“\u blank”>WastedLocker勒索软件</a>,REvil在过去的战役中针对美国目标部署的变体。</p><figure class=“image-original shortcode image”><span class=“img aspect set”style=“padding bottom:40%”><img src=“”class=“lazy”alt=“screenshot-2021-03-25-at-11-18-23.png”height=“auto”width=“1200”原始数据=“https://www.zdnet.com/a/hub/i/r/2021/03/25/80559b89-0dc0-41c3-bcf8-bdf6369ed373/resize/1200xauto/83c8b96f12690bfa4b43275f05535a12/screenshot-2021-03-25-at-11-18-23.png“></span><noscript><span class=“img aspect set”style=“padding bottom:40%”><imgsrc=“https://www.zdnet.com/a/hub/i/r/2021/03/25/80559b89-0dc0-41c3-bcf8-bdf6369ed373/resize/1200xauto/83c8b96f12690bfa4b43275f05535a12/screenshot-2021-03-25-at-11-18-23.png“class=”“alt=”screenshot-2021-03-25-at-11-18-23.png“height=”auto“width=”1200“></span></noscript><figcaption><spanclass=“caption”><p></p></span></figcaption></figure><p>Cobalt Strike和Empire用于管理指挥和控制(C2)服务器并保持持久性。批量脚本、日志清除、禁用端点防病毒产品以及修改组策略对象(GPO)以禁用审核日志记录都是为了规避现有防御而实现的。</p><p>Hades还包括代码混淆,以避免基于签名的检测。</p><p>各种侦察工具也被用于抓取网络,埃森哲指出:“此外,威胁参与者在发现与入侵集相关的几个可执行文件的C:\ProgramData根目录下进行操作。”。</p><p>在加密之前,Hades运营商窃取并存档数据,然后将其发送给C2,这是一种被称为“双重勒索”的策略:付清费用,或冒着公司数据在线泄露的风险。</p><p>“我们以适度的信心评估,该集团的运营才刚刚开始,在可预见的未来,冥府的活动可能会继续扩散,影响更多的受害者,“埃森哲说。</p><p>CIFR和ACTI已经公布了威胁组和哈迪斯变体的妥协指标(IoC)。</p><h3>以前和相关报道</h3><ul><li><a href=”https://www.zdnet.com/article/ransomware-attack-halts-production-at-iot-maker-sierra-wireless/“target=”\u blank“>勒索软件攻击停止生产物联网制造商Sierra Wirelesshttps://www.zdnet.com/article/purple-fox-malware-evolves-to-propagate-across-windows-machines/“target=”\u blank“>Purple Fox恶意软件演变为在Windows计算机上传播https://www.zdnet.com/article/largest-ransomware-demand-now-stands-at-3000万-as-crooks-get bolder/“target=”\u blank“>最大的勒索软件需求现在达到3000万美元,因为骗子们越来越大胆了,有什么线索吗?</strong>通过WhatsApp |信号+447713 025 499或Keybase:charlie0安全联系</p><p><a href=“/article/severe vulnerabilities patched in facebook for wordpress plugin/”data omniture track=“moduleClick”data omniture track data=){kind=link}