קבוצת פשע סייבר GOLD WINTER

חוקרי אבטחת סייבר דיווחו בביטחון רב שקבוצת האקרים שזה עתה הוקמה, שאותה הגינו כ-GOLD WINTER, אחראית לפעולות ההתקפה הכוללות את תוכנת הכופר של האדס . האדס הופיע על בימת פשעי הסייבר בדצמבר 2020 ועד כה מומנף כנגד מטרות מרובות. בעבר חברות infosec שונות ייחסו את הכלי הזדוני לקולקטיבים שונים של האקרים, כולל HAFNIUM ו-GOLD DRAKE. ואכן, GOLD DRAKE הופיע כאשם הסביר בשל מספר חפיפות בין האדס לאיום תוכנת הכופר שלהם בשם WastedLocker הכוללים שיחות ממשק תכנות דומות, תוך שימוש ב- CryptOne Cryptor, וקיומן של מספר פקודות זהות בשני האיומים. החוקרים של Secureworks, לעומת זאת, מצאו מספיק היבטים בולטים לגבי התקפת האדס כדי להגדיר את המפעיל שלה כשחקן איום נפרד.

בניגוד לרוב מפעילי תוכנות הכופר, שהם קצת חסרי הבחנה בחיפוש אחר קורבנות, נראה של-GOLD WINTER יש קריטריונים מחמירים בבחירת המטרות שלו. הקבוצה הולכת אחרי תת-קבוצה קטנה של יעדים בעלי ערך גבוה, בעיקר ארגוני ייצור מצפון אמריקה. זה מאפשר להאקרים שבסיסם ברוסיה, ככל הנראה, למקסם את הרווחים שלהם מכל פריצה מוצלחת.

מאפייני חורף זהב

הקבוצה מראה סימנים של נקיטת צעדים מכוונים כדי להטעות את קהילת infosec ולהקשות על ייחוס תוכנת הכופר של האדס. GOLD WINTER ירד לעתים קרובות על פתקי הכופר של המערכות שנפגעו שנלקחו ממשפחות אחרות של תוכנות כופר בעלות פרופיל גבוה. במקרים מסוימים, HADES פרסה פתקים המחקים את אלה השייכים למשפחת REvil עם שמות כגון HOW-TO-DECRYPT-.txt בעוד שאצל קורבנות אחרים האיום הפיל חיקוי של הפתק של Conti Ransomware (CONTACT-TO- DECRYPT.txt).

לחורף הזהב, לעומת זאת, יש כמה תכונות ייחודיות המייחדות אותו. הקבוצה לא מסתמכת על אתר אינטרנט דליפה מרוכז כדי "לשמוע ולבייש" את קורבנותיה. במקום זאת, כל ארגון שנפגע מופנה לאתר מותאם אישית מבוסס Tor עם מזהה צ'אט ספציפי לקורבן המסופק לתקשורת. הכללת שירות ההודעות המיידיות Tox היא גישה חדשה שאינה קיימת בפעולות אחרות של תוכנות כופר. בנוסף, תוכנת הכופר של Hades לא הפכה זמינה לרכישה בפורומי האקרים תת-קרקעיים, מה שמעיד על כך שהאיום אינו מוצע בתוכנית RaaS (Ransomware as a Service) ובמקום זאת מופעלת ככלי כופר פרטי.