Skupina GOLD WINTER pro počítačovou kriminalitu

Výzkumníci v oblasti kybernetické bezpečnosti s velkou jistotou oznámili, že nově založená hackerská skupina, kterou označili jako GOLD WINTER, je zodpovědná za útočné operace zahrnující Hades Ransomware . Hádes se objevil na scéně kybernetické kriminality v prosinci 2020 a dosud byl využíván proti více cílům. Dříve různé firmy infosec připisovaly škodlivý nástroj různým skupinám hackerů, včetně HAFNIUM a GOLD DRAKE. GOLD DRAKE se skutečně jevil jako pravděpodobný viník kvůli několika překrývání mezi Hades a jejich vlastní ransomwarovou hrozbou jménem WastedLocker, která zahrnuje podobná volání programovacího rozhraní, využívající kryptor CryptOne a existenci několika identických příkazů v obou hrozbách. Výzkumníci společnosti Secureworks však našli dostatek charakteristických aspektů útoku Hades na to, aby jeho operátora postavili jako samostatného aktéra hrozby.

Na rozdíl od většiny provozovatelů ransomwaru, kteří jsou při hledání obětí poněkud nevybíraví, se zdá, že GOLD WINTER má při výběru svých cílů přísná kritéria. Skupina sleduje malou podskupinu vysoce hodnotných cílů, zejména výrobních organizací ze Severní Ameriky. To umožňuje nejpravděpodobnějším hackerům sídlícím v Rusku maximalizovat své zisky z každého úspěšného narušení.

Charakteristika GOLD WINTER

Skupina vykazuje známky toho, že podniká záměrné kroky, aby oklamala komunitu infosec a ztížila připisování ransomwaru Hades. GOLD WINTER často padaly na poznámky o výkupném z ohrožených systémů převzaté z jiných vysoce profilovaných rodin ransomwaru. V některých případech společnost HADES nasadila poznámky napodobující poznámky patřící do rodiny REvil se jmény jako HOW-TO-DECRYPT-.txt, zatímco u jiných obětí hrozba vypustila imitaci poznámky Conti Ransomware (KONTAKT-NA- DECRYPT.txt).

GOLD WINTER má však některé jedinečné vlastnosti, které ji odlišují. Skupina se nespoléhá na centralizované webové stránky pro únik informací, které by měly „pojmenovat a zahanbit“ své oběti. Namísto toho je každá napadená organizace nasměrována na zakázkovou webovou stránku založenou na Tor s Tox chat ID pro oběť poskytnutým pro komunikaci. Zahrnutí služby okamžitých zpráv Tox je nový přístup, který není přítomen v jiných operacích ransomwaru. Ransomware Hades navíc nebyl zpřístupněn ke koupi na podzemních hackerských fórech, což naznačuje, že hrozba není nabízena v rámci schématu RaaS (Ransomware as a Service) a místo toho je provozována jako soukromý nástroj ransomwaru.