گروه جرایم سایبری GOLD WINTER
محققان امنیت سایبری با اطمینان بالا گزارش کرده اند که یک گروه هکر تازه تاسیس که آنها را به عنوان GOLD WINTER تعیین کرده اند، مسئول عملیات حمله شامل باج افزار Hades است . هادس در دسامبر 2020 در صحنه جرایم سایبری ظاهر شد و تاکنون علیه اهداف متعددی مورد استفاده قرار گرفته است. قبلاً شرکتهای مختلف infosec این ابزار مخرب را به گروههای مختلف هکری از جمله HAFNIUM و GOLD DRAKE نسبت دادهاند. در واقع، GOLD DRAKE به دلیل همپوشانی های متعدد بین Hades و تهدید باج افزار خود به نام WastedLocker که شامل تماس های رابط برنامه نویسی مشابه، با استفاده از رمزگذار CryptOne و وجود چندین دستور یکسان در هر دو تهدید می شود، به عنوان مقصر احتمالی ظاهر شد. با این حال، محققان Secureworks جنبه های متمایز کننده کافی در مورد حمله Hades پیدا کردند تا اپراتور آن را به عنوان یک عامل تهدید جداگانه قرار دهند.
برخلاف اکثر اپراتورهای باج افزار که در جستجوی قربانیان تا حدودی بی تفاوت هستند، به نظر می رسد GOLD WINTER معیارهای سختگیرانه ای در هنگام انتخاب اهداف خود دارد. این گروه به دنبال زیرمجموعه کوچکی از اهداف با ارزش بالا است که عمدتاً سازمانهای تولیدی از آمریکای شمالی هستند. این به احتمال زیاد هکرهای مستقر در روسیه اجازه می دهد تا سود خود را از هر نفوذ موفق به حداکثر برسانند.
ویژگی های GOLD WINTER
این گروه نشانه هایی از برداشتن گام های عمدی برای گمراه کردن جامعه infosec و دشوارتر کردن انتساب باج افزار Hades را نشان می دهد. GOLD WINTER اغلب یادداشتهای باجافزاری سیستمهای به خطر افتاده را که از سایر خانوادههای باجافزار با مشخصات بالا گرفته شده بود، حذف میکرد. در برخی موارد، HADES یادداشت هایی با تقلید از یادداشت های متعلق به خانواده REvil با نام هایی مانند HOW-TO-DECRYPT-
با این حال، GOLD WINTER دارای ویژگی های منحصر به فردی است که آن را متمایز می کند. این گروه به یک وبسایت متمرکز که برای «نام بردن و شرمساری» قربانیان خود متکی باشد، متکی نیست. در عوض، هر سازمان در معرض خطر به یک وبسایت سفارشی مبتنی بر Tor با شناسه چت Tox ویژه قربانی که برای ارتباطات ارائه شده است هدایت میشود. گنجاندن سرویس پیامرسانی فوری Tox یک رویکرد جدید است که در سایر عملیات باجافزار وجود ندارد. علاوه بر این، باجافزار Hades برای خرید در انجمنهای هکرهای زیرزمینی در دسترس قرار نگرفته است، که نشان میدهد این تهدید در طرح RaaS (باجافزار به عنوان سرویس) ارائه نمیشود و در عوض به عنوان یک ابزار باجافزار خصوصی عمل میکند.