Ομάδα Ηλεκτρονικού Εγκλήματος GOLD WINTER
Ερευνητές κυβερνοασφάλειας ανέφεραν με μεγάλη σιγουριά ότι μια νεοσύστατη ομάδα χάκερ που ονόμασαν ως GOLD WINTER είναι υπεύθυνη για τις επιχειρήσεις επίθεσης που περιλαμβάνουν το Hades Ransomware . Ο Άδης εμφανίστηκε στη σκηνή του εγκλήματος στον κυβερνοχώρο τον Δεκέμβριο του 2020 και μέχρι στιγμής έχει αξιοποιηθεί έναντι πολλών στόχων. Προηγουμένως διαφορετικές εταιρείες infosec είχαν αποδώσει το κακόβουλο εργαλείο σε διάφορες, διαφορετικές συλλογικότητες χάκερ, συμπεριλαμβανομένων των HAFNIUM και GOLD DRAKE. Πράγματι, ο GOLD DRAKE εμφανίστηκε ως ο πιθανός ένοχος λόγω πολλών αλληλεπικαλύψεων μεταξύ του Hades και της δικής τους απειλής ransomware που ονομάζεται WastedLocker που περιλαμβάνει παρόμοιες κλήσεις διεπαφής προγραμματισμού, χρησιμοποιώντας τον κρυπτογράφο CryptOne και την ύπαρξη αρκετών πανομοιότυπων εντολών και στις δύο απειλές. Οι ερευνητές της Secureworks, ωστόσο, βρήκαν αρκετά διακριτικά στοιχεία σχετικά με την επίθεση του Άδη ώστε να ορίσουν τον χειριστή της ως ξεχωριστό παράγοντα απειλής.
Σε αντίθεση με τους περισσότερους χειριστές ransomware που είναι κάπως αδιάκριτοι όταν αναζητούν θύματα, το GOLD WINTER φαίνεται να έχει αυστηρά κριτήρια όταν επιλέγει τους στόχους του. Ο όμιλος ακολουθεί ένα μικρό υποσύνολο στόχων υψηλής αξίας, κυρίως κατασκευαστικών οργανισμών από τη Βόρεια Αμερική. Αυτό επιτρέπει στους πιθανότερους ρωσικούς χάκερ να μεγιστοποιήσουν τα κέρδη τους από κάθε επιτυχημένη παραβίαση.
Χαρακτηριστικά ΧΡΥΣΟΥ ΧΕΙΜΩΝΑ
Η ομάδα δείχνει σημάδια λήψης σκόπιμων μέτρων για να παραπλανήσει την κοινότητα του infosec και να κάνει πιο δύσκολη την απόδοση του ransomware Hades. Το GOLD WINTER συχνά έπεφτε στις σημειώσεις λύτρων που είχαν παραβιαστεί συστήματα που είχαν ληφθεί από άλλες οικογένειες ransomware υψηλού προφίλ. Σε ορισμένες περιπτώσεις, η HADES ανέπτυξε σημειώσεις που μιμούνται εκείνες που ανήκουν στην οικογένεια REvil με ονόματα όπως HOW-TO-DECRYPT-
Ο ΧΡΥΣΟΣ ΧΕΙΜΩΝΑΣ, ωστόσο, έχει μερικά μοναδικά χαρακτηριστικά που τον ξεχωρίζουν. Η ομάδα δεν βασίζεται σε μια κεντρική ιστοσελίδα διαρροής για να «ονομάσει και να ντροπιάσει» τα θύματά της. Αντίθετα, κάθε παραβιασμένος οργανισμός κατευθύνεται σε έναν προσαρμοσμένο ιστότοπο που βασίζεται σε Tor με ένα αναγνωριστικό συνομιλίας Tox ειδικά για το θύμα που παρέχεται για επικοινωνίες. Η συμπερίληψη της υπηρεσίας άμεσων μηνυμάτων Tox είναι μια νέα προσέγγιση που δεν υπάρχει σε άλλες λειτουργίες ransomware. Επιπλέον, το Hades ransomware δεν έχει γίνει διαθέσιμο για αγορά σε υπόγεια φόρουμ χάκερ, υποδεικνύοντας ότι η απειλή δεν προσφέρεται σε ένα σύστημα RaaS (Ransomware ως υπηρεσία) και αντίθετα λειτουργεί ως ιδιωτικό εργαλείο ransomware.
