Grup de Ciberdelinqüència GOLD WINTER

Els investigadors de ciberseguretat han informat amb gran confiança que un grup de pirates informàtics recentment establert que van designar com a GOLD WINTER és responsable de les operacions d'atac que impliquen el ransomware Hades . Hades va aparèixer a l'escenari del cibercrim el desembre del 2020 i fins ara s'ha aprofitat contra diversos objectius. Anteriorment, diferents empreses d'infosec han atribuït l'eina maliciosa a diversos col·lectius de pirates informàtics, com HAFNIUM i GOLD DRAKE. De fet, GOLD DRAKE va aparèixer com el probable culpable a causa de diverses superposicions entre Hades i la seva pròpia amenaça de ransomware anomenada WastedLocker que inclouen trucades d'interfície de programació similars, utilitzant el cryptor CryptOne i l'existència de diverses ordres idèntiques en ambdues amenaces. Els investigadors de Secureworks, però, van trobar prou aspectes distintius sobre l'atac de Hades per establir el seu operador com un actor d'amenaça independent.

A diferència de la majoria dels operadors de ransomware que són una mica indiscriminats a l'hora de buscar víctimes, GOLD WINTER sembla tenir criteris estrictes a l'hora d'escollir els seus objectius. El grup persegueix un petit subconjunt d'objectius d'alt valor, principalment organitzacions de fabricació d'Amèrica del Nord. Això permet que els pirates informàtics més probables amb seu a Rússia maximitzin els seus beneficis de cada incompliment reeixit.

Característiques de GOLD HIVER

El grup mostra signes de prendre mesures deliberades per enganyar la comunitat infosec i fer més difícil l'atribució del ransomware Hades. GOLD WINTER sovint va caure a les notes de rescat dels sistemes compromesos preses d'altres famílies de ransomware d'alt perfil. En alguns casos, HADES va desplegar notes que imitaven les que pertanyien a la família REvil amb noms com ara HOW-TO-DECRYPT-.txt, mentre que en altres víctimes l'amenaça va deixar caure una imitació de la nota del Conti Ransomware (CONTACTE-TO- DESCRIPT.txt).

GOLD WINTER, però, té alguns trets únics que el distingeixen. El grup no es basa en un lloc web de filtració centralitzat per "anomenar i avergonyir" de les seves víctimes. En lloc d'això, cada organització compromesa es dirigeix a un lloc web personalitzat basat en Tor amb un identificador de xat Tox específic per a la víctima proporcionat per a les comunicacions. La inclusió del servei de missatgeria instantània Tox és un enfocament nou que no està present en altres operacions de ransomware. A més, el ransomware Hades no s'ha posat a disposició per a la compra als fòrums de pirates informàtics subterranis, cosa que indica que l'amenaça no s'ofereix en un esquema RaaS (Ransomware as a Service) i que s'utilitza com una eina privada de ransomware.