從Dridex到Hades:多重打壓下,曲線賺錢的INDRIK SPIDER犯罪組織
介紹
INDRIK SPIDER是一個老牌犯罪組織,自2014年以來通過散播Dridex銀行木馬獲得了數百萬美元的非法牟利,隨著時間的推移,INDRIK SPIDER在其主營的電匯欺詐業務中變得不再順風順水。2017年8月,該組織又引入了BitPaymer勒索軟件,并開始專注于針對大型組織的高額勒索行為,涉及目標包括企業、政府機構、醫院、行業協會等。
INDRIK SPIDER的肆虐也遭到了國家層面的打擊,2015年,INDRIK SPIDER的化名子公司“Smilex”被捕,之后英國執法部門也采取了行動,瓦解了INDRIK SPIDER在Dridex活動中的洗錢網絡,并將一名幫助他們建立虛假賬戶的英國銀行雇員抓捕入獄。2019年12月,美國財政部外國資產控制辦公室(OFAC)對INDRIK SPIDER也采取了行動,切斷了受害組織向后者支付大額贖金的渠道,并指控該組織的兩個主要成員Maksim Yakubets和Igor Turashev的罪行,美國國務院也宣布懸賞最高500萬美金來獲取組織核心成員的信息。
在受到OFAC制裁后,INDRIK SPIDER銷聲匿跡了一段時間,但這段時間并沒有閑著,還在繼續發展技術手段和交易手段,而最近的轉變就體現在Hades勒索軟件上。
INDRIK SPIDER的轉變
2020年1月,INDRIK SPIDER重出江湖,再次利用BitPaymer攻擊了多個行業的大型企業,此次行動使用Gozi ISFB變體作為payload而非以前常用的Dridex銀行木馬。
2020年3月到2020年5月,行動中斷,之后INDRIK SPIDER推出了WastedLocker,這是BitPaymer勒索軟件的后繼產品。對WastedLocker和Gozi ISFB的使用標志著INDRIK SPIDER新階段的開啟。INDRIK SPIDER誘使受害者下載木馬化的Cobalt Strike紅隊工具,并在網絡內橫向移動,建立對企業環境的控制后,隨后執行WastedLocker展開后續勒索活動。到2020年底,已經攻擊了十幾個大型的組織機構(主要位于美國)。
從WastedLocker到Hades
Hades勒索軟件于2020年12月首次被發現,以引導受害者訪問的Tor站點命名。它是WastedLocker的64位編譯的變種,兩者在代碼上有大量重疊,除了做額外的代碼混淆和小特性的更改外,與WastedLocker大部分功能基本相同,包括受ISFB啟發的靜態配置、多階段持久性/安裝過程、文件/目錄枚舉和加密功能,差異地方在于,Hades刪除了INDRIK SPIDER在以前的勒索軟件家族(WastedLocker和BitPaymer)中一些獨有的功能,包括:
- Hades現在是具有附加代碼混淆功能的64位編譯可執行文件,目的是為了逃避了簽名檢測和阻礙逆向分析。
- 大多數標準文件和注冊表Windows API調用已被其對應的系統調用替代(即從NTDLL導出的用戶模式本機API)。
- Hades使用的用戶帳戶控制(UAC)繞過方式與WastedLocker使用的不同,但這兩種實現都直接來自開源UACME項目https[:]//github[.]com/hfiref0x/UACME。
- Hades會將名為HOW-TO-DECRYPT-[extension].txt的贖金票據寫入遍歷的目錄,而WastedLocker和BitPaymer則是為每個加密文件創建票據。
- Hades將密鑰信息存儲在每個加密文件中, WastedLocker和BitPaymer都將編碼和加密的密鑰信息存儲在特定于文件的贖金票據中。
- Hades仍將自身復制到Application Data中生成子目錄中,但不再使用:bin交換數據流(ADS),對:bin ADS路徑的使用是WastedLocker和BitPaymer的特征。
Hades還體現了一種戰術上的轉變——不再使用電子郵件通信,也不再使用從受害者那里竊取機密數據獲取報酬的可能性。Hades贖金票據(如圖1所示)將受害者定向到Tor站點,通過贖金票據無法識別受害公司,這點在WastedLocker和BitPaymer中也經常看到。
圖1. Hades勒索軟件的贖金票據
Tor網站(如圖2所示)對于每個受害者都是唯一的,聯系方式只有一個用于與Tox點對點即時通訊的Tox標識符(https[:]// Tox [.]chat/)。
圖2. Hades勒索軟件的Tor站點
結論
INDRIK SPIDER的發展已經證明,哪怕在英美等多個執法部門打壓下,自身仍能保持旺盛的生命力和發展彈性,在工具改進、第三方產品的利用上不斷推陳出新,同時改變支付渠道來繞過制裁限制,為美國大型企業組織的安全性帶來了一定挑戰。
本文翻譯自:
https://www.crowdstrike.com/blog/hades-ransomware-successor-to-indrik-spiders-wastedlocker/
