【安全资讯】研究人员将Hades勒索软件归因到GOLD WINTER组织

近日，研究人员披露了 Hades 勒索软件运营商采用的策略、技术和程序 (TTP)，并将其归因于一个名为GOLD WINTER 的出于经济动机的威胁组织。研究人员表示，GOLD WINTER威胁组织是典型的入侵后勒索软件威胁组织，他们追求高价值目标，以最大限度地从受害者那里勒索钱财。

一些第三方报告将 Hades勒索软件归因于HAFNIUM威胁组织，但研究人员认为并非如此。还有一些报告根据该勒索软件与WastedLocker勒索软件的相似性将Hades归因于GOLD DRAKE威胁组织。尽管使用了类似的应用程序编程接口 (API) 调用、CryptOne 加密器和一些相同的命令，但研究人员依旧认为 Hades 和 WastedLocker 不属于同一个威胁组织。

Hades勒索软件利用两个不同的初始访问向量 (IAV)。在某些入侵中，以虚拟专用网络和远程桌面协议为目标，获得初始立足点并保持对受害环境的访问，通过 Cobalt Strike 等工具实现持久性。在另一种情况下，Hades利用SocGholish恶意软件作为初始访问向量。SocGholish诱骗用户访问受感染的网站，使用社会工程主题模拟浏览器更新以在没有用户干预的情况下触发恶意下载。

GOLD WINTER 使用的 IP 地址和域如下图：

GOLD WINTER 使用的 IP 地址

GOLD WINTER 使用的域

与 GOLD WINTER 基础设施相关的域由俄罗斯注册商 REG.RU 发布。该域的注册数据显示州为印第安纳州，但国家代码为芬兰和新泽西州的电话号码，这可能表明黑客故意提供错误信息。所有已识别的域都有指向已识别 Selectel IP 地址的链接。运营Hades的黑客使用与其他勒索软件运营商无关的 TTP，且不在地下论坛和市场上可能意味着 Hades 作为私人勒索软件而不是勒索软件即服务 (RaaS) 运营。