GOLD WINTER Kyberrikollisuusryhmä

Kyberturvallisuustutkijat ovat ilmoittaneet suurella varmuudella, että äskettäin perustettu hakkeriryhmä, jonka he nimesivät GOLD WINTERiksi, on vastuussa Hades Ransomwaren hyökkäystoimista. Hades esiintyi kyberrikollisuuden näyttämöllä joulukuussa 2020, ja tähän mennessä on käytetty useita kohteita vastaan. Aiemmin eri infosec-yritykset ovat syyllistyneet haitallisen työkalun useisiin erilaisiin hakkeriryhmiin, mukaan lukien HAFNIUM ja GOLD DRAKE. Itse asiassa GOLD DRAKE esiintyi todennäköisenä syyllisenä useiden päällekkäisyyksien vuoksi Hadesin ja heidän oman WastedLocker-nimisen kiristysohjelmauhan välillä, jotka sisältävät samankaltaisia ohjelmointirajapintakutsuja käyttäen CryptOne-salausta, ja useiden identtisten komentojen olemassaolosta molemmissa uhissa. Secureworksin tutkijat löysivät kuitenkin Hades-hyökkäyksestä tarpeeksi erottavia näkökohtia asettaakseen sen operaattorin erilliseksi uhkatoimijaksi.

Toisin kuin useimmat ransomware-operaattorit, jotka ovat jokseenkin umpimähkäisiä etsiessään uhreja, GOLD WINTERillä näyttää olevan tiukat kriteerit kohteidensa valinnassa. Ryhmä tavoittelee pientä osajoukkoa arvokkaita tavoitteita, pääasiassa Pohjois-Amerikan valmistusorganisaatioita. Tämän ansiosta todennäköisimmin venäläiset hakkerit voivat maksimoida voittonsa jokaisesta onnistuneesta rikkomuksesta.

GOLD WINTERin ominaisuudet

Ryhmä osoittaa merkkejä siitä, että se ryhtyy tahallisiin toimiin tietoturvayhteisön harhaanjohtamiseksi ja Hades-ransomwaren tunnistamisen vaikeuttamiseksi. GOLD WINTER pudotti usein vaarantuneiden järjestelmien lunnaita, jotka oli otettu muilta korkean profiilin lunnasohjelmaperheiltä. Joissakin tapauksissa HADES käytti muistiinpanoja, jotka jäljittelivät REvil- perheeseen kuuluvia muistiinpanoja nimillä, kuten HOW-TO-DECRYPT-.txt, kun taas muiden uhrien kohdalla uhka pudotti jäljitelmän Conti Ransomwaren muistiinpanosta (CONTACT-TO- DECRYPT.txt).

GOLD WINTERillä on kuitenkin joitain ainutlaatuisia piirteitä, jotka erottavat sen muista. Ryhmä ei luota keskitettyyn vuotosivustoon uhrien nimeämiseksi ja häpeämiseksi. Sen sijaan jokainen vaarantunut organisaatio ohjataan räätälöidylle Tor-pohjaiselle verkkosivustolle, jossa on uhrikohtainen Tox-chat-tunnus viestintää varten. Tox-pikaviestipalvelun sisällyttäminen on uusi lähestymistapa, jota ei ole olemassa muissa kiristyshaittaohjelmissa. Lisäksi Hades ransomware -ohjelmaa ei ole asetettu ostettavaksi maanalaisilla hakkerifoorumeilla, mikä osoittaa, että uhkaa ei tarjota RaaS (Ransomware as a Service) -järjestelmässä, vaan sitä käytetään sen sijaan yksityisenä lunnasohjelmatyökaluna.