Des chercheurs de CrowdStrike, Accenture et Awake Security ont disséqué certaines des attaques impliquant le ransomware Hades et publié des informations à la fois sur le malware lui-même et sur les tactiques, techniques et procédures (TTP) employées par ses opérateurs.

Initialement observé en décembre 2020, le ransomware autoproclamé Hades (une famille de logiciels malveillants différente du ransomware Hades Locker apparu en 2016) utilise une tactique de double extorsion, exfiltrant les données des victimes et menaçant de les divulguer publiquement à moins que la rançon ne soit payée.

L’adversaire semble principalement axé sur les entreprises, certaines des victimes étant des organisations multinationales avec plus d’un milliard de dollars de revenus annuels. Les attaques ont principalement touché le Canada, l’Allemagne, le Luxembourg, le Mexique et les États-Unis.

Les opérateurs de ransomware Hades ne ciblaient que quelques secteurs, notamment le transport et la logistique, les produits de consommation, ainsi que la fabrication et la distribution – un fournisseur de services logistiques et des organisations de la chaîne d’approvisionnement automobile et de la fabrication de produits d’isolation sont des victimes connues. Au moins trois des victimes sont des entreprises américaines avec un chiffre d’affaires annuel de plus d’un milliard de dollars, note Accenture.

Dans la note de rançon déposée sur les machines compromises, chaque victime est dirigée vers un site Web Tor unique – six de ces sites ont été identifiés à ce jour, ce qui suggère qu’Hadès a fait au moins six victimes. Sur ce site Web, la victime est chargée de contacter les attaquants à l’aide de la messagerie instantanée Tox peer-to-peer.

Les opérateurs de ransomwares exigent des paiements de l’ordre de 5 à 10 millions de dollars de leurs victimes. Fait intéressant, malgré un nombre relativement faible de victimes et des demandes de paiement importantes, les adversaires semblent lents à répondre aux demandes d’instructions de paiement de rançon.

En plus de crypter les fichiers sur les machines de la victime, les opérateurs de ransomware Hadès exfiltrent également des données réputées être …