গোল্ড উইন্টার সাইবার ক্রাইম গ্রুপ

সাইবারসিকিউরিটি গবেষকরা উচ্চ আত্মবিশ্বাসের সাথে রিপোর্ট করেছেন যে একটি নতুন প্রতিষ্ঠিত হ্যাকার গ্রুপ যাকে তারা গোল্ড উইন্টার হিসাবে মনোনীত করেছে হেডস র্যানসমওয়্যার জড়িত আক্রমণ অপারেশনের জন্য দায়ী। হেডিস 2020 সালের ডিসেম্বরে সাইবার ক্রাইম মঞ্চে উপস্থিত হয়েছিল এবং এখনও পর্যন্ত একাধিক লক্ষ্যের বিরুদ্ধে লিভারেজ করা হয়েছে। পূর্বে বিভিন্ন ইনফোসেক ফার্মগুলি হ্যাফনিয়াম এবং গোল্ড ড্রেক সহ বিভিন্ন, বিভিন্ন হ্যাকার সমষ্টির জন্য ক্ষতিকারক সরঞ্জামটিকে দায়ী করেছে। প্রকৃতপক্ষে, হেডিস এবং ওয়েস্টেডলকার নামে তাদের নিজস্ব র্যানসমওয়্যার হুমকির মধ্যে বেশ কয়েকটি ওভারল্যাপের কারণে গোল্ড ড্রেক সম্ভাব্য অপরাধী হিসাবে উপস্থিত হয়েছিল যার মধ্যে ক্রিপ্টওন ক্রিপ্টর ব্যবহার করে একই ধরনের প্রোগ্রামিং ইন্টারফেস কল এবং উভয় হুমকির মধ্যে বেশ কয়েকটি অভিন্ন কমান্ডের অস্তিত্ব রয়েছে। সিকিউরওয়ার্কস এর গবেষকরা অবশ্য হেডিস আক্রমণ সম্পর্কে যথেষ্ট আলাদা দিক খুঁজে পেয়েছেন যার অপারেটরকে একটি পৃথক হুমকি অভিনেতা হিসাবে সেট করতে।

বেশিরভাগ র‍্যানসমওয়্যার অপারেটরদের বিপরীতে যারা শিকারের খোঁজ করার সময় কিছুটা নির্বিচার করে, গোল্ড উইন্টার এর লক্ষ্যগুলি বেছে নেওয়ার সময় কঠোর মানদণ্ড রয়েছে বলে মনে হয়। গোষ্ঠীটি উচ্চ-মূল্যের লক্ষ্যগুলির একটি ছোট উপসেট অনুসরণ করে, প্রধানত উত্তর আমেরিকা থেকে উত্পাদনকারী সংস্থাগুলি৷ এটি রাশিয়ান ভিত্তিক হ্যাকারদের প্রতিটি সফল লঙ্ঘন থেকে তাদের লাভ সর্বাধিক করার অনুমতি দেয়।

গোল্ড উইন্টার এর বৈশিষ্ট্য

গ্রুপটি ইনফোসেক সম্প্রদায়কে বিভ্রান্ত করার জন্য এবং হেডিস র্যানসমওয়্যারের বৈশিষ্ট্যগুলিকে আরও কঠিন করার জন্য ইচ্ছাকৃত পদক্ষেপ নেওয়ার লক্ষণ দেখায়। গোল্ড উইন্টার প্রায়শই অন্যান্য হাই-প্রোফাইল র‍্যানসমওয়্যার পরিবার থেকে নেওয়া আপসকৃত সিস্টেমের মুক্তিপণ নোটগুলিতে ড্রপ হয়। কিছু কিছু ক্ষেত্রে, HADES HOW-TO-DECRYPT-.txt-এর মতো নাম সহ REvil পরিবারের অন্তর্গত ব্যক্তিদের অনুকরণ করে নোট স্থাপন করেছে যখন অন্য শিকারদের উপর হুমকি কন্টি র্যানসমওয়্যারের নোটের অনুকরণ বাদ দিয়েছে (যোগাযোগ-টু- DECRYPT.txt)।

গোল্ড উইন্টার, তবে, কিছু অনন্য বৈশিষ্ট্য রয়েছে যা এটিকে আলাদা করে। গ্রুপটি তার শিকারদের 'নাম এবং লজ্জা' দেওয়ার জন্য একটি কেন্দ্রীভূত লিক ওয়েবসাইটের উপর নির্ভর করে না। পরিবর্তে, প্রতিটি আপস করা প্রতিষ্ঠানকে যোগাযোগের জন্য দেওয়া একটি শিকার-নির্দিষ্ট টক্স চ্যাট আইডি সহ একটি কাস্টম-মেড টর-ভিত্তিক ওয়েবসাইটে নির্দেশিত করা হয়। টক্স ইনস্ট্যান্ট মেসেজিং পরিষেবার অন্তর্ভুক্তি একটি অভিনব পদ্ধতি যা অন্যান্য র্যানসমওয়্যার অপারেশনগুলিতে উপস্থিত নয়। এছাড়াও, আন্ডারগ্রাউন্ড হ্যাকার ফোরামে কেনার জন্য Hades ransomware উপলব্ধ করা হয়নি, যা নির্দেশ করে যে হুমকিটি RaaS (Ransomware as a service) স্কিমে অফার করা হচ্ছে না এবং পরিবর্তে একটি ব্যক্তিগত ransomware টুল হিসাবে পরিচালিত হয়।