Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Hades Ransomware se ha dirigido a 7 grandes empresas

Escrito por: Prajeet Nair (Bankinfo Security)



Al menos siete empresas con ingresos anuales de más de mil millones de dólares se han visto afectadas en lo que va de año por el ransomware Hades, según un informe de Accenture Security .


Desde marzo, las víctimas han sido atacadas en los sectores de bienes y servicios de consumo, seguros y fabricación y distribución, dice Accenture Security, sin identificar a ninguna empresa. "Los perfiles de las víctimas conocidas continúan siendo un indicador constante de la 'caza mayor', con métodos de selección y despliegue de objetivos destinados a pagos de alto valor", señala la firma.


Nueva variante


El grupo de amenazas detrás del ransomware Hades ha estado en funcionamiento desde al menos diciembre de 2020 y ha seguido apuntando a las víctimas hasta mayo de 2021, dice Accenture Security. La compañía dice que las actividades del grupo "probablemente continuarán proliferando en el futuro previsible, impactando a víctimas adicionales cuidadosamente seleccionadas".


Es probable que el grupo detrás de la variante Hades también use Phoenix CryptoLocker en un esfuerzo por impedir la atribución de ataques, dice la firma de seguridad.

Bleeping Computer había informado anteriormente que un ataque de ransomware atribuido al grupo de piratería Evil Corp contra la aseguradora CNA se llevó a cabo utilizando Phoenix CryptoLocker.


Los investigadores encontraron que los atacantes de Hades han utilizado un conjunto de herramientas relativamente estándar con solo variaciones menores, como el uso de acceso de credenciales a través de VPN y el malware SocGholish entregado a través de una actualización maliciosa de Google Chrome, que se encontró que eran los principales vectores de infección.


Factores comunes


En los ataques de Hades hasta ahora, se usó un escáner de IP avanzado para el reconocimiento y se usó PSexec para el movimiento lateral y la implementación del ransomware, dicen los investigadores de Accenture Security. Los actores de amenazas también hicieron un uso intensivo del protocolo de escritorio remoto para el movimiento lateral, y utilizaron Mimikatz, una aplicación de código abierto, para acceder a las credenciales. Se utilizaron archivos por lotes similares para deshabilitar Microsoft Windows Defender y otro software antivirus, detener servicios y borrar registros, señalan los investigadores. La banda detrás del ransomware Hades también usa constantemente Cobalt Strike.


"En al menos dos intrusiones, hubo una destrucción selectiva de las copias de seguridad antes del cifrado", señalan los investigadores en su informe. "La utilidad 7zip se utilizó para archivar datos que luego se almacenaron y exfiltraron a un servidor controlado por el atacante alojado en la infraestructura de nube de Mega [.] Nz, aprovechando la utilidad MEGAsync".


Los grupos de ransomware "lobo solitario", como el grupo detrás de Hades, "normalmente operan fuera del modelo basado en afiliados y no participan constantemente en operaciones de ransomware como servicio. Sin embargo, esto no significa necesariamente que estén no es un grupo con recursos suficientes en sí mismos ", señala Accenture Security.

Los operadores de ransomware Hades adaptan sus tácticas y herramientas a objetivos cuidadosamente seleccionados y ejecutan una operación de "manos en el teclado" para infligir el máximo daño y lograr pagos más altos, dicen los investigadores.


"Esto incluye demandas de rescate multimillonarias y, en al menos dos casos, el pago exitoso. Sin embargo, aunque algunas partes de cada cadena de intrusión pueden parecer 'novedosas' por naturaleza, su enfoque sugiere un nivel moderado de sofisticación operativa y técnica, según los operadores Aproveche un conjunto de herramientas en su mayoría estándar y, a menudo, utilice enfoques 'ruidosos' para el reconocimiento. En al menos un caso, la organización objetivo disuadió con éxito el ataque antes del impacto, por lo que se desconoce la acción prevista en los objetivos ".


Hades y otras cepas


Las notas de rescate de Hades son similares a las utilizadas por el grupo REvil , ha señalado anteriormente Accenture. REvil también se dirige a las grandes empresas para obtener pagos más altos.


"Los factores diferenciadores en las notas de rescate son la información de contacto de los operadores y el formato de las notas de rescate", según el informe anterior de Accenture . "Si bien las notas de rescate son similares, no tenemos ninguna evidencia que sugiera que los grupos de amenazas u operaciones se superpongan en este momento".


Un informe de marzo de la firma de seguridad CrowdStrike dice que Hades parece ser el sucesor del ransomware WastedLocker, que se cree que es utilizado por Evil Corp, un grupo criminal que ha estado activo desde 2014. Accenture Security dice que aún no puede nombrar al grupo que está detrás de Hades.

CrowdStrike señala que Hades tiene muchas de las mismas funciones que WastedLocker.


Fuente: https://www.bankinfosecurity.com/hades-ransomware-has-targeted-7-large-companies-a-16977



4 vistas0 comentarios