GOLD WINTER Cybercrime Group

Cybersikkerhedsforskere har med stor tillid rapporteret, at en nyetableret hackergruppe, som de udpegede som GULDVINTER, er ansvarlig for angrebsoperationerne, der involverer Hades Ransomware . Hades dukkede op på cyberkriminalitetsscenen i december 2020 og er indtil videre blevet gearet mod flere mål. Tidligere forskellige infosec-firmaer har tilskrevet det ondsindede værktøj til forskellige, forskellige hackerkollektiver, herunder HAFNIUM og GOLD DRAKE. Faktisk så GOLD DRAKE ud som den sandsynlige synder på grund af flere overlapninger mellem Hades og deres egen ransomware-trussel ved navn WastedLocker, der inkluderer lignende programmeringsgrænsefladeopkald ved hjælp af CryptOne-kryptoren og eksistensen af flere identiske kommandoer i begge trusler. Secureworks forskere fandt imidlertid tilstrækkelige skelne aspekter ved Hades-angrebet til at sætte dets operatør som en separat trusselsaktør.

I modsætning til de fleste ransomware-operatører, der er noget vilkårlige, når de leder efter ofre, ser GOLD WINTER ud til at have strenge kriterier, når de vælger sine mål. Gruppen følger en lille delmængde af højværdimål, primært fremstillingsorganisationer fra Nordamerika. Dette giver de mest sandsynlige russisk-baserede hackere mulighed for at maksimere deres overskud fra hver vellykket overtrædelse.

GULD VINTERs egenskaber

Gruppen viser tegn på at tage bevidste skridt for at vildlede infosec-samfundet og gøre tilskrivning af Hades-ransomware vanskeligere. GULD VINTER faldt ofte på de kompromitterede systemer løsesum notater taget fra andre højt profilerede ransomware familier. I nogle tilfælde implementerede HADES noter, der efterlignede dem, der tilhører REvil- familien med navne som HVORDAN DEKRYPT- .txt, mens truslen på andre ofre faldt en efterligning af Conti Ransomware's note (KONTAKT-TIL- DECRYPT.txt).

GULDVINTER har dog nogle unikke træk, der adskiller den. Gruppen stoler ikke på, at et centraliseret lækagewebsted skulle 'navngive og skamme' dets ofre. I stedet dirigeres hver kompromitteret organisation til et skræddersyet Tor-baseret websted med et offerspecifikt Tox-chat-id til kommunikation. Inkluderingen af Tox instant messaging-tjenesten er en ny tilgang, der ikke er til stede i andre ransomware-operationer. Derudover er Hades ransomware ikke gjort tilgængeligt for køb på underjordiske hackerfora, hvilket indikerer, at truslen ikke tilbydes i et RaaS-program (Ransomware as a Service) og i stedet drives som et privat ransomware-værktøj.