介紹

INDRIK SPIDER是一個老牌犯罪組織，自2014年以來通過散播Dridex銀行木馬獲得了數(shù)百萬美元的非法牟利，隨著時間的推移，INDRIK SPIDER在其主營的電匯欺詐業(yè)務(wù)中變得不再順風(fēng)順?biāo)?017年8月，該組織又引入了BitPaymer勒索軟件，并開始專注于針對大型組織的高額勒索行為，涉及目標(biāo)包括企業(yè)、政府機構(gòu)、醫(yī)院、行業(yè)協(xié)會等。

[[389093]]

INDRIK SPIDER的肆虐也遭到了國家層面的打擊，2015年，INDRIK SPIDER的化名子公司“Smilex”被捕，之后英國執(zhí)法部門也采取了行動，瓦解了INDRIK SPIDER在Dridex活動中的洗錢網(wǎng)絡(luò)，并將一名幫助他們建立虛假賬戶的英國銀行雇員抓捕入獄。2019年12月，美國財政部外國資產(chǎn)控制辦公室(OFAC)對INDRIK SPIDER也采取了行動，切斷了受害組織向后者支付大額贖金的渠道，并指控該組織的兩個主要成員Maksim Yakubets和Igor Turashev的罪行，美國國務(wù)院也宣布懸賞最高500萬美金來獲取組織核心成員的信息。

在受到OFAC制裁后，INDRIK SPIDER銷聲匿跡了一段時間，但這段時間并沒有閑著，還在繼續(xù)發(fā)展技術(shù)手段和交易手段，而最近的轉(zhuǎn)變就體現(xiàn)在Hades勒索軟件上。

INDRIK SPIDER的轉(zhuǎn)變

2020年1月，INDRIK SPIDER重出江湖，再次利用BitPaymer攻擊了多個行業(yè)的大型企業(yè)，此次行動使用Gozi ISFB變體作為payload而非以前常用的Dridex銀行木馬。

2020年3月到2020年5月，行動中斷，之后INDRIK SPIDER推出了WastedLocker，這是BitPaymer勒索軟件的后繼產(chǎn)品。對WastedLocker和Gozi ISFB的使用標(biāo)志著INDRIK SPIDER新階段的開啟。INDRIK SPIDER誘使受害者下載木馬化的Cobalt Strike紅隊工具，并在網(wǎng)絡(luò)內(nèi)橫向移動，建立對企業(yè)環(huán)境的控制后，隨后執(zhí)行WastedLocker展開后續(xù)勒索活動。到2020年底，已經(jīng)攻擊了十幾個大型的組織機構(gòu)(主要位于美國)。

從WastedLocker到Hades

Hades勒索軟件于2020年12月首次被發(fā)現(xiàn)，以引導(dǎo)受害者訪問的Tor站點命名。它是WastedLocker的64位編譯的變種，兩者在代碼上有大量重疊，除了做額外的代碼混淆和小特性的更改外，與WastedLocker大部分功能基本相同，包括受ISFB啟發(fā)的靜態(tài)配置、多階段持久性/安裝過程、文件/目錄枚舉和加密功能，差異地方在于，Hades刪除了INDRIK SPIDER在以前的勒索軟件家族(WastedLocker和BitPaymer)中一些獨有的功能，包括：

• Hades現(xiàn)在是具有附加代碼混淆功能的64位編譯可執(zhí)行文件，目的是為了逃避了簽名檢測和阻礙逆向分析。
• 大多數(shù)標(biāo)準(zhǔn)文件和注冊表Windows API調(diào)用已被其對應(yīng)的系統(tǒng)調(diào)用替代(即從NTDLL導(dǎo)出的用戶模式本機API)。
• Hades使用的用戶帳戶控制(UAC)繞過方式與WastedLocker使用的不同，但這兩種實現(xiàn)都直接來自開源UACME項目https[:]//github[.]com/hfiref0x/UACME。
• Hades會將名為HOW-TO-DECRYPT-[extension].txt的贖金票據(jù)寫入遍歷的目錄，而WastedLocker和BitPaymer則是為每個加密文件創(chuàng)建票據(jù)。
• Hades將密鑰信息存儲在每個加密文件中， WastedLocker和BitPaymer都將編碼和加密的密鑰信息存儲在特定于文件的贖金票據(jù)中。
• Hades仍將自身復(fù)制到Application Data中生成子目錄中，但不再使用:bin交換數(shù)據(jù)流(ADS)，對:bin ADS路徑的使用是WastedLocker和BitPaymer的特征。

Hades還體現(xiàn)了一種戰(zhàn)術(shù)上的轉(zhuǎn)變——不再使用電子郵件通信，也不再使用從受害者那里竊取機密數(shù)據(jù)獲取報酬的可能性。Hades贖金票據(jù)(如圖1所示)將受害者定向到Tor站點，通過贖金票據(jù)無法識別受害公司，這點在WastedLocker和BitPaymer中也經(jīng)?？吹?。

圖1. Hades勒索軟件的贖金票據(jù)

Tor網(wǎng)站(如圖2所示)對于每個受害者都是唯一的，聯(lián)系方式只有一個用于與Tox點對點即時通訊的Tox標(biāo)識符(https[:]// Tox [.]chat/)。

圖2. Hades勒索軟件的Tor站點

結(jié)論

INDRIK SPIDER的發(fā)展已經(jīng)證明，哪怕在英美等多個執(zhí)法部門打壓下，自身仍能保持旺盛的生命力和發(fā)展彈性，在工具改進、第三方產(chǎn)品的利用上不斷推陳出新，同時改變支付渠道來繞過制裁限制，為美國大型企業(yè)組織的安全性帶來了一定挑戰(zhàn)。

本文翻譯自：

https://www.crowdstrike.com/blog/hades-ransomware-successor-to-indrik-spiders-wastedlocker/