گروه جرایم سایبری GOLD WINTER

محققان امنیت سایبری با اطمینان بالا گزارش کرده اند که یک گروه هکر تازه تاسیس که آنها را به عنوان GOLD WINTER تعیین کرده اند، مسئول عملیات حمله شامل باج افزار Hades است . هادس در دسامبر 2020 در صحنه جرایم سایبری ظاهر شد و تاکنون علیه اهداف متعددی مورد استفاده قرار گرفته است. قبلاً شرکت‌های مختلف infosec این ابزار مخرب را به گروه‌های مختلف هکری از جمله HAFNIUM و GOLD DRAKE نسبت داده‌اند. در واقع، GOLD DRAKE به دلیل همپوشانی های متعدد بین Hades و تهدید باج افزار خود به نام WastedLocker که شامل تماس های رابط برنامه نویسی مشابه، با استفاده از رمزگذار CryptOne و وجود چندین دستور یکسان در هر دو تهدید می شود، به عنوان مقصر احتمالی ظاهر شد. با این حال، محققان Secureworks جنبه های متمایز کننده کافی در مورد حمله Hades پیدا کردند تا اپراتور آن را به عنوان یک عامل تهدید جداگانه قرار دهند.

برخلاف اکثر اپراتورهای باج افزار که در جستجوی قربانیان تا حدودی بی تفاوت هستند، به نظر می رسد GOLD WINTER معیارهای سختگیرانه ای در هنگام انتخاب اهداف خود دارد. این گروه به دنبال زیرمجموعه کوچکی از اهداف با ارزش بالا است که عمدتاً سازمان‌های تولیدی از آمریکای شمالی هستند. این به احتمال زیاد هکرهای مستقر در روسیه اجازه می دهد تا سود خود را از هر نفوذ موفق به حداکثر برسانند.

ویژگی های GOLD WINTER

این گروه نشانه هایی از برداشتن گام های عمدی برای گمراه کردن جامعه infosec و دشوارتر کردن انتساب باج افزار Hades را نشان می دهد. GOLD WINTER اغلب یادداشت‌های باج‌افزاری سیستم‌های به خطر افتاده را که از سایر خانواده‌های باج‌افزار با مشخصات بالا گرفته شده بود، حذف می‌کرد. در برخی موارد، HADES یادداشت هایی با تقلید از یادداشت های متعلق به خانواده REvil با نام هایی مانند HOW-TO-DECRYPT-.txt به کار برد، در حالی که در مورد سایر قربانیان، تهدید یک تقلید از یادداشت باج افزار Conti را حذف کرد (CONTACT-TO- DECRYPT.txt).

با این حال، GOLD WINTER دارای ویژگی های منحصر به فردی است که آن را متمایز می کند. این گروه به یک وب‌سایت متمرکز که برای «نام بردن و شرمساری» قربانیان خود متکی باشد، متکی نیست. در عوض، هر سازمان در معرض خطر به یک وب‌سایت سفارشی مبتنی بر Tor با شناسه چت Tox ویژه قربانی که برای ارتباطات ارائه شده است هدایت می‌شود. گنجاندن سرویس پیام‌رسانی فوری Tox یک رویکرد جدید است که در سایر عملیات باج‌افزار وجود ندارد. علاوه بر این، باج‌افزار Hades برای خرید در انجمن‌های هکرهای زیرزمینی در دسترس قرار نگرفته است، که نشان می‌دهد این تهدید در طرح RaaS (باج‌افزار به عنوان سرویس) ارائه نمی‌شود و در عوض به عنوان یک ابزار باج‌افزار خصوصی عمل می‌کند.