GOLD WINTER küberkuritegevuse rühm

Küberjulgeolekuteadlased on teatanud suure kindlusega, et äsja loodud häkkerirühmitus, mille nad nimetasid GOLD WINTERiks, vastutab Hades Ransomware'i hõlmavate rünnakute eest. Hades ilmus küberkuritegevuse lavale 2020. aasta detsembris ja siiani on teda kasutatud mitme sihtmärgi vastu. Varem on erinevad infosec-firmad omistanud pahatahtliku tööriista erinevatele häkkerikollektiividele, sealhulgas HAFNIUM ja GOLD DRAKE. Tõepoolest, GOLD DRAKE paistis tõenäolise süüdlasena, kuna Hades ja nende enda lunavaraoht WastedLocker kattuvad, sisaldavad sarnaseid programmeerimisliidese väljakutseid, kasutades CryptOne'i krüptorit, ja mitme identse käsu olemasolu mõlemas ohus. Secureworksi teadlased leidsid aga Hadese rünnaku kohta piisavalt eristavaid aspekte, et seada selle operaator eraldi ohus osalejaks.

Erinevalt enamikust lunavaraoperaatoritest, kes on ohvrite otsimisel mõnevõrra valimatud, näib GOLD WINTERil sihtmärkide valimisel ranged kriteeriumid. Rühm järgib väikest alamhulka kõrge väärtusega sihtmärke, peamiselt Põhja-Ameerika tootmisorganisatsioone. See võimaldab kõige tõenäolisematel Venemaal asuvatel häkkeritel maksimeerida oma kasumit igast edukast rikkumisest.

KULDTALVE omadused

Rühm näitab märke tahtlike sammude astumisest infoseci kogukonna eksitamiseks ja Hadese lunavara omistamise raskendamiseks. GOLD WINTER langes sageli muudelt kõrgetasemelistelt lunavaraperekondadelt võetud lunaraha märkmed ohustatud süsteemidele. Mõnel juhul kasutas HADES märkmeid, mis jäljendasid perekonda REvili kuuluvaid märkmeid ja mille nimed olid KUIDAS DECRYPT-.txt, samas kui teiste ohvrite puhul jättis ähvardus jäljendi Conti Ransomware'i märkmele (CONTACT-TO- DECRYPT.txt).

GOLD WINTERil on siiski mõned ainulaadsed omadused, mis eristavad seda. Rühm ei tugine tsentraliseeritud lekkeveebisaidile, et oma ohvreid "nimetada ja häbistada". Selle asemel suunatakse iga ohustatud organisatsioon eritellimusel valmistatud Tor-põhisele veebisaidile, millel on suhtlemiseks ohvripõhine Tox vestluse ID. Kiirsuhtlusteenuse Tox kaasamine on uudne lähenemisviis, mida teiste lunavaraoperatsioonide puhul ei esine. Lisaks ei ole Hadese lunavara maa-alustes häkkerite foorumites ostmiseks kättesaadavaks tehtud, mis näitab, et ohtu ei pakuta RaaS-i (Ransomware as a Service) skeemis ja seda kasutatakse selle asemel privaatse lunavaratööriistana.