GOLD WINTER Cybercrime Group

साइबर सुरक्षा शोधकर्ताओं ने उच्च विश्वास के साथ रिपोर्ट किया है कि एक नया स्थापित हैकर समूह जिसे उन्होंने गोल्ड विंटर के रूप में नामित किया है, हेड्स रैनसमवेयर से जुड़े हमले के संचालन के लिए जिम्मेदार है। दिसंबर 2020 में हेड्स साइबर क्राइम के मंच पर दिखाई दिए और अब तक कई लक्ष्यों के खिलाफ इसका लाभ उठाया गया है। पहले अलग-अलग इन्फोसेक फर्मों ने इस दुर्भावनापूर्ण टूल के लिए विभिन्न, विभिन्न हैकर समूहों को जिम्मेदार ठहराया है जिनमें HAFNIUM और GOLD DRAKE शामिल हैं। वास्तव में, GOLD DRAKE हेड्स और उनके स्वयं के रैंसमवेयर खतरे के बीच कई ओवरलैप के कारण संभावित अपराधी के रूप में प्रकट हुआ, जिसका नाम WastedLocker है जिसमें समान प्रोग्रामिंग इंटरफ़ेस कॉल शामिल हैं, CryptOne क्रिप्टोर का उपयोग करते हुए, और दोनों खतरों में कई समान कमांड का अस्तित्व। सिक्योरवर्क्स के शोधकर्ताओं ने, हालांकि, हेड्स हमले के बारे में पर्याप्त विशिष्ट पहलुओं को पाया ताकि इसके ऑपरेटर को एक अलग खतरे वाले अभिनेता के रूप में स्थापित किया जा सके।

अधिकांश रैंसमवेयर ऑपरेटरों के विपरीत, जो पीड़ितों की तलाश में कुछ हद तक अंधाधुंध होते हैं, गोल्ड विंटर अपने लक्ष्य चुनते समय सख्त मानदंड रखता है। समूह उच्च-मूल्य वाले लक्ष्यों के एक छोटे उपसमूह का अनुसरण करता है, मुख्य रूप से उत्तरी अमेरिका के निर्माण संगठन। यह सबसे संभावित रूसी-आधारित हैकर्स को प्रत्येक सफल उल्लंघन से अपने लाभ को अधिकतम करने की अनुमति देता है।

गोल्ड विंटर के लक्षण

समूह ने इन्फोसेक समुदाय को गुमराह करने और हेड्स रैंसमवेयर के आरोपण को और अधिक कठिन बनाने के लिए जानबूझकर कदम उठाने के संकेत दिए हैं। गोल्ड विंटर अक्सर अन्य हाई-प्रोफाइल रैंसमवेयर परिवारों से लिए गए समझौता किए गए सिस्टम फिरौती नोटों पर गिरा दिया जाता है। कुछ उदाहरणों में, HADES ने HOW-TO-DECRYPT-<पीड़ित आईडी>.txt जैसे नामों के साथ REvil परिवार से संबंधित लोगों की नकल करने वाले नोटों को तैनात किया, जबकि अन्य पीड़ितों पर खतरे ने Conti Ransomware के नोट की नकल को गिरा दिया (संपर्क-से- DECRYPT.txt)।

हालाँकि, गोल्ड विंटर में कुछ अनोखे लक्षण होते हैं जो इसे अलग करते हैं। समूह अपने पीड़ितों को 'नाम और शर्म' करने के लिए एक केंद्रीकृत लीक वेबसाइट पर भरोसा नहीं करता है। इसके बजाय, प्रत्येक समझौता किए गए संगठन को एक कस्टम-निर्मित टोर-आधारित वेबसाइट पर निर्देशित किया जाता है जिसमें संचार के लिए प्रदान की गई पीड़ित-विशिष्ट टॉक्स चैट आईडी होती है। टोक्स इंस्टेंट मैसेजिंग सेवा का समावेश एक नया दृष्टिकोण है जो अन्य रैंसमवेयर संचालन में मौजूद नहीं है। इसके अलावा, भूमिगत हैकर मंचों पर खरीद के लिए हेड्स रैंसमवेयर उपलब्ध नहीं कराया गया है, यह दर्शाता है कि रास (एक सेवा के रूप में रैंसमवेयर) योजना में खतरे की पेशकश नहीं की जा रही है और इसके बजाय एक निजी रैंसमवेयर उपकरण के रूप में संचालित किया जाता है।