網絡安全研究人員周二披露了 Hades 勒索軟件運營商采用的“獨特”策略、技術和程序 （TTP），使其與其他同類軟件區別開來，并將其歸因于一個名為 GOLD WINTER 的出于經濟動機的黑客組織。

　　SecureWorks Counter Threat Unit （CTU） 的研究人員在一份報告https://www.secureworks.com/blog/hades-ransomware-operators-use-distinctive-tactics-and-infrastructure中表示：“在許多方面，GOLD WINTER 黑客組織是典型的”侵入后勒索軟件（post-intrusion ransomware）“勒索軟件組織，他們追求高價值目標，以最大限度地從受害者那里勒索贖金。然而，GOLD WINTER 的運營有一些怪癖，這將它與其他組織區分開來。”

　　這些發現來自于這家總部位于亞特蘭大的網絡安全公司在2021年第一季度進行的一項事件響應研究。

　　根據 Crowdstrike 的說法，自 2020 年 12 月首次出現在黑客領域以來，Hades 已被歸類為 老牌網絡犯罪集團INDRIK SPIDER開發的WastedLocker 勒索軟件的迭代產品，Hades具有額外的代碼混淆和細微的功能更改。INDRIK SPIDER也被稱為 GOLD DRAKE 和 Evil Corp，是一個復雜的網絡犯罪集團，因在 2017 年至 2020 年期間運營名為 Dridex 的銀行木馬以及傳播 BitPaymer 勒索軟件而臭名昭著。

　　根據埃森哲網絡調查和取證響應 （CIFR） 和網絡黑客情報 （ACTI） 團隊的研究，截至 2021 年 3 月下旬，WastedLocker 迭代的勒索軟件已經影響了至少三家公司，其中包括一家美國運輸和物流公司組織、美國消費品組織和全球制造組織。早在 2020 年 12 月，貨運巨頭 Forward Air 就被攻擊過。2020年12月15日，Forward Air Corporation檢測到一個勒索軟件事件，影響了其運營和信息技術系統，導致許多客戶的服務延遲。在發現該事件后，公司立即啟動響應協議，展開調查，并聘請網絡安全和取證專業人員提供服務。這次攻擊背后的Hades勒索軟件團伙大約在一周前開始以人工攻擊企業的方式開始運作。

　　加密受害者的文件時，攻擊者將創建一個名為“HOW-TO-DECRYPT- [extension] .txt”的贖金通知，該通知與REvil勒索軟件的類似，隨后，Awake Security 發布的一項分析提出了高級黑客攻擊者可能以 Hades 為幌子進行操作的可能性，引用了 Hafnium 域，該域被確定為 Hades 攻擊時間線內的攻擊指標。Hafnium是今年早些時候對易受攻擊的 Exchange 服務器發起的 ProxyLogon 攻擊的幕后黑手。

　　Secureworks 表示，該黑客組織使用與其他勒索軟件運營商無關的 TTP，表示地下黑市和市場中沒有 Hades 可能意味著 Hades 作為自定義勒索軟件而不是勒索軟件即服務 （RaaS） 運營。

　　GOLD WINTER 的目標是虛擬專用網絡和遠程桌面協議，以獲得初始立足點并保持對受害環境的訪問，使用它通過 Cobalt Strike 等工具實現持久性。研究人員說，在一個示例中，攻擊者將 Cobalt Strike 可執行文件偽裝成 CorelDRAW 圖形編輯器應用程序，以掩蓋文件的攻擊屬性。

　　在第二個示例中，Hades 被發現利用 SocGholish 惡意軟件（通常與 GOLD DRAKE 組織相關）作為初始訪問媒介。在這種攻擊中，用戶被誘騙訪問受感染的網站，使用社會工程主題模擬瀏覽器更新以在沒有用戶干預的情況下觸發惡意下載。

　　Hades復制了其他競爭組織（如 REvil 和 Conti）的贖金票據的模式。

　　另一種新技術涉及使用 Tox 即時消息服務進行通信，更不用說使用為每個受害者量身定制的基于 Tor 的網站，而不是利用集中式泄漏網站來暴露從受害者那里竊取的數據。每個網站都包含一個特定于受害者的 Tox 聊天 ID，用于通信。

　　勒索軟件組織通常是投機取巧的，他們瞄準任何可能受到勒索并可能支付贖金的組織。然而，GOLD WINTER 對北美大型制造商的攻擊表明，該集團是一個專門尋找高價值目標的組織。