Група за киберпрестъпления GOLD WINTER

Изследователите на киберсигурността съобщават с голяма увереност, че новосъздадена хакерска група, която те определиха като GOLD WINTER, е отговорна за операциите за атака, включващи Hades Ransomware . Hades се появи на сцената на киберпрестъпленията през декември 2020 г. и досега е използван срещу множество цели. Преди това различни фирми за инфосек приписваха злонамерения инструмент на различни, различни хакерски колективи, включително HAFNIUM и GOLD DRAKE. Всъщност GOLD DRAKE се появи като вероятния виновник поради няколко припокривания между Hades и собствената им заплаха за откуп на име WastedLocker, която включва подобни извиквания на програмен интерфейс, използвайки криптора CryptOne и съществуването на няколко идентични команди в двете заплахи. Изследователите на Secureworks обаче откриха достатъчно отличителни аспекти за атаката на Hades, за да определят нейния оператор като отделен участник в заплахата.

За разлика от повечето оператори на ransomware, които са донякъде безразборни, когато търсят жертви, GOLD WINTER изглежда има строги критерии при избора на целите си. Групата се стреми към малка подгрупа от цели с висока стойност, главно производствени организации от Северна Америка. Това позволява на най-вероятните базирани в Русия хакери да увеличат максимално печалбите си от всяко успешно пробив.

Характеристики на GOLD WINTER

Групата показва признаци на предприемане на умишлени стъпки, за да заблуди общността на информацията и да затрудни приписването на откупния софтуер Hades. GOLD WINTER често падаше върху компрометираните системи за откуп, взети от други фамилии на ransomware с висок профил. В някои случаи HADES разположи бележки, имитиращи тези, принадлежащи на семейството REvil, с имена като HOW-TO-DECRYPT-.txt, докато при други жертви заплахата пусна имитация на бележката на Conti Ransomware (CONTACT-TO- DECRYPT.txt).

GOLD WINTER обаче има някои уникални черти, които я отличават. Групата не разчита на централизиран уебсайт за течове, за да „назове и засрами“ своите жертви. Вместо това всяка компрометирана организация е насочена към персонализиран уебсайт, базиран на Tor, със специфичен за жертвата идентификационен номер за Tox чат, предоставен за комуникация. Включването на услугата за незабавни съобщения Tox е нов подход, който не присъства в други операции за рансъмуер. Освен това, откупният софтуер на Hades не е наличен за закупуване в подземни хакерски форуми, което показва, че заплахата не се предлага в схема RaaS (Ransomware като услуга) и вместо това се управлява като частен инструмент за откуп.