简介INDRIKSPIDER是一个老牌犯罪组织,从2014年开始通过传播Dridex银行木马非法获利数百万美元,并随着时间的推移超过一时间,INDRIKSPIDER主营的电汇诈骗业务变得不再一帆风顺。2017年8月,该组织引入BitPaymer勒索软件,开始针对大型组织进行高额勒索,涉及目标包括企业、政府机构、医院、行业协会等。全国水平。2015年,INDRIKSPIDER的假名子公司“Smilex”被捕。之后,英国执法机构也采取行动,捣毁了INDRIKSPIDER在Dridex活动中的洗钱网络,一名帮助他们设立假账户的英国银行员工已被判入狱。2019年12月,美国财政部海外资产控制办公室(OFAC)也对INDRIKSPIDER采取行动,切断受害组织向后者支付大笔赎金的渠道,并指责该组织的两名主要成员,MaksimYakubets和Igor对于Turashev的罪行,美国国务院还宣布悬赏最高500万美元,以获取该组织核心成员的信息。受到OFAC制裁后,INDRIKSPIDER销声匿迹了一段时间,但这段时间也没有闲着,不断研发技术手段和交易方式,而近期的转型则体现在Hades勒索软件上。INDRIKSPIDER的变化2020年1月,INDRIKSPIDER重出江湖,再次利用BitPaymer向多个行业的大型企业发起攻击。该操作使用GoziISFB变种作为payload,而不是之前常用的Dridex银行木马。从2020年3月到2020年5月,操作中断,之后INDRIKSPIDER推出了WastedLocker,它是BitPaymer勒索软件的继任者。WastedLocker和GoziISFB的使用标志着INDRIKSPIDER新阶段的开始。INDRIKSPIDER诱使受害者下载木马化的CobaltStrike红队工具,在网络内横向移动建立对企业环境的控制,然后执行WastedLocker进行后续勒索活动。undefined图1.Hades勒索软件的赎金记录Tor站点(如图2所示)对每个受害者都是唯一的,只有一个Tox标识符用于与Tox进行点对点即时消息传递(https[:]//Tox[.]chat/).图2.Hades勒索软件的Tor站点结论。INDRIKSPIDER的发展已经证明,即使在英美等众多执法机构的打压下,它依然能够保持旺盛的生命力和开发的灵活性,并不断完善工具和使用第三方产品.推陈出新,同时改变支付渠道以绕过制裁限制,给美国大型企业组织的安全带来了一定的挑战。本文翻译自:https://www.crowdstrike.com/blog/hades-ransomware-successor-to-indrik-spiders-wastedlocker/
