Вымогательское ПО Hades считается преемником вымогателя WastedLocker группировки Evil Corp.
Команда исследователей в области кибербезопасности SecureWorks Counter Threat Unit (CTU) рассказала об «отличительных» тактиках, приемах и процедурах (TTP), используемых операторами вымогателя Hades. Злоумышленников связывают с финансово-мотивированной киберпеступной группировкой под названием Gold Winter.
Вымогательское ПО Hades было классифицировано исследователями из компании Crowdstrike как преемник вымогателя WastedLocker группировки Indrik Spider (также известной как Gold Drake и Evil Corp) с «дополнительной обфускацией кода и незначительными изменениями функций».
По результатам исследований, проведенных специалистами Cyber Investigation and Forensic Response (CIFR) и Cyber Threat Intelligence (ACTI) Accenture, по состоянию на конец марта 2021 года операторы Hades атаковали как минимум трех неназванных жертв, включая транспортно-логистическую службу США, американскую организацию по производству потребительских товаров и глобальную производственную организацию. Также была атакована логистическая компания Forward Air. В результате кибератаки с использованием вымогательского ПО транспортная компания понесла убытки в размере $7,5 млн.
Последующий анализ, опубликованный экспертами Awake Security, усилил подозрения касательно того, что под видом Hades действует APT-группировка. Эксперты ссылались на домен Hafnium, который был идентифицирован как индикатор компрометации в рамках атаки Hades. Hafnium — китайская группировка, предположительно ответственная за использование уязвимостей ProxyLogon в серверах Microsoft Exchange.
Gold Winter атакует виртуальные частные сети и протоколы удаленного рабочего стола, с целью проникнуть в компьютерные сети жертв и поддерживать доступ к средам компании. Персистентность обеспечивается с помощью таких инструментов, как Cobalt Strike. По словам исследователей, в одном случае злоумышленник замаскировал исполняемый файл Cobalt Strike под приложение графического редактора CorelDRAW.
Хакеры также используют службы обмена мгновенными сообщениями Tox для связи. Вместо одного web-сайта утечек данных жертв преступники разрабатывают отдельные Tor-сайты, адаптированные под конкретную жертву.