Biznes i Finanse
Kradzież danych i paraliż systemów. „Hades” infekuje sieci amerykańskich „grubych ryb”
Hakerzy, wykorzystując oprogramowanie ransomware o nazwie „Hades”, prowadzą kampanię wymierzoną w międzynarodowe podmioty, których roczne przychody wynoszą 1 mld USD. W ramach operacji stosują taktykę „podwójnego wymuszania”, czyli żądania okupu w zamian za odblokowanie systemów oraz bezpieczeństwo skradzionych danych. Specjaliści ostrzegają, że to dopiero początek cyberataków z udziałem „Hadesa”.
Nieznana grupa hakerska wykorzystuje oprogramowanie ransomware o nazwie „Hades” do prowadzenia operacji cyberprzestępczych od co najmniej grudnia 2020 roku – wynika z raportu opracowanego przez specjalistów Accenture. Eksperci wskazują, że z racji tego, że jest to stosunkowo nowa kampania, w najbliższej przyszłości będzie kontynuowana w celu uderzenia w kolejne ofiary.
Przeprowadzona analiza potwierdziła, że w wyniku działań hakerów poszkodowane są trzy podmioty, które są wielkimi międzynarodowymi organizacjami, których roczne przychody sięgają 1 mld USD. Jak wskazują specjaliści, profil ofiar świadczy, że operatorzy ransomware są zainteresowani tzw. „grubymi rybami”, aby wyłudzić od nich wysoki okup. Taki stan rzeczy wyjaśnia również, skąd wynika tak mała liczba poszkodowanych podmiotów.
W raporcie nie wskazano konkretnych ofiar. Stwierdzono jedynie, że chodzi o „amerykańską organizację transportowo-logistyczną, dużą amerykańską organizację zajmującą się produktami konsumenckimi oraz globalną organizację produkcyjną”.
Hakerzy podczas kampanii instruują ofiary, aby zainstalowały przeglądarkę Tor i odwiedziły podaną stronę internetową. Wskazane przez grupę witryny różnią się adresem, co potwierdza, że są one generowane dla każdego podmiotu oddzielnie w unikalny sposób. Specjalistom Accenture udało się zidentyfikować 6 stron tego typu, co świadczy, że poza trzema znanymi ofiarami, są jeszcze 3 kolejne, których nie udało się jeszcze zidentyfikować.
Analiza kampanii potwierdziła, że hakerzy dostosowują taktykę i narzędzia do swoich celów bardzo starannie, a ich celem jest wyrządzenie maksymalnych zakłóceń, aby skłonić poszkodowane podmioty do zapłacenia wysokiego okupu.
W raporcie wskazano, że podstawową metodą wstępnego dostępu do sieci ofiary są systemy połączone z internetem za pośrednictwem protokołu RDP (Remote Desktop Protocol) lub wirtualnej sieci prywatnej (VPN) przy użyciu legalnych danych uwierzytelniających. W trakcie wrogich działań hakerzy przed wdrożeniem ransomware wykorzystują narzędzie 7zip do archiwizacji danych. Poza kradzieżą informacji grupa szyfruje określone zbiory plików zidentyfikowanych w sieci ofiary. Jest to modelowy przykład taktyki tzw. „podwójnego wymuszenia”.
