勒索软件Hades锁定3家大型企业发动攻击，攻击者身份仍然不明

又是骇客发动勒索软件攻击并采取双重勒索的手法！骇客利用Mega云端硬盘外泄资料，且攻击者身份却依旧不明。资安公司Accenture针对勒索软件Hades公布分析结果，表示他们观察到该勒索软件自2020年12月至2021年3月，锁定至少3家年营收超过10亿美元的跨国大型企业发动攻击，而且这个勒索软件的攻击行动似乎才刚开始，Accenture认为，还可能会有更多企业受害。

针对3家受害的企业，Accenture指出他们是美国大型运输与物流业者、美国大型消费性产品业者，以及跨国制造业者。而其中一个已经曝光的受害企业身份，是2020年12月遭到攻击的美国物流运输公司Forward Air，该公司拥有超过4,300名员工，2020年营收近13亿美元。

对于Hades入侵受害企业的管道，Accenture指出，最主要的方法是使用合法的账号与密码，存取远端桌面连线（RDP）与虚拟私人网络（VPN）。骇客为了让Hades能持续留存在受害电脑里，他们滥用渗透测试工具Cobalt Strike与Empire，并搭配合法帐密，建立相关服务，以及与C&C中继站连结的管道。不过，骇客究竟如何取得合法帐密？Accenture并未进一步说明。

一旦电脑遭到感染，Hades会将自己复制一份到特定资料夹，然后借由命令提示字元与搭配go参数，来重新启动这个恶意软件。接着，Hades再下达彻底删除自己与复本的命令，并解开Hades的可执行档案于内存内执行，之后，该勒索软件使用Windows内建工具，删除阴影复制的备份资料，才开始找寻本机与网络共用的资料夹，加密其中的大多数档案，被加密的档案会被窜改副档名，然后Hades在电脑里留下勒索讯息，是名为HOW-TO-DECRYPT-[extension].txt的纯文字档案。

攻击者也在Hades加入多种回避侦测的机制，来避免触动资安系统的警报，像是透过批次执行wevtutil.exe，以便持续清除受害电脑的事件记录，还有窜改群组原则物件（GPO），来停用Windows的事件记录稽核功能。同时，Hades也具备停用防毒软件的能力，有时候攻击者甚至会手动停用端点侦测与回应系统（EDR）的代理程式。

而在植入Hades勒索软件之前，骇客也不例外地将资料外泄，以便档案加密后进行双重勒索。攻击者使用压缩软件7-Zip打包资料后，借由MEGAsync档案同步工具，将这些资料传送到Mega云端硬盘。

至于使用Hades勒索软件的攻击者身份为何？Accenture认为还不明朗。

该公司将Hades与其他勒索软件比对，他们发现Hades的勒索讯息，与从另一个勒索软件REvil的讯息内容极为相似，而很有可能是Hades背后的骇客组织，参考REvil的资料制作自己的勒索讯息。但勒索软件骇客参考不同组织的工具，来组成自己的勒索讯息可说是相当常见，因此这样的理由不足以认定Hades是REvil骇客组织使用的勒索软件。

再者，Accenture也提及程式码层面的相似之处。他们引用另一家资安公司CrowdStrike的分析结果，发现Hades与WastedLocker相似度极高，而推断可能与Evil Corp有所关连。然而勒索软件骇客修改他人工具的情况，也是时有所闻，这样的证据是否足以认定Hades就是出自Evil Corp之手？Accenture认为，显然有待进一步的调查。