GOLD WINTER CyberCrime Group

Istraživači kibernetičke sigurnosti izvijestili su s velikim povjerenjem da je novoosnovana hakerska grupa koju su označili kao GOLD WINTER odgovorna za operacije napada koje uključuju Hades Ransomware . Hades se pojavio na pozornici kibernetičkog kriminala u prosincu 2020. i do sada je bio korišten protiv višestrukih meta. Prethodno su različite infosec tvrtke pripisivale zlonamjerni alat raznim, različitim hakerskim kolektivima uključujući HAFNIUM i GOLD DRAKE. Doista, GOLD DRAKE se pojavio kao vjerojatni krivac zbog nekoliko preklapanja između Hadesa i njihove vlastite ransomware prijetnje pod nazivom WastedLocker koja uključuje slične pozive programskog sučelja, korištenje kriptora CryptOne i postojanje nekoliko identičnih naredbi u obje prijetnje. Istraživači Secureworksa su, međutim, pronašli dovoljno razlikovnih aspekata o napadu Hadesa da postave njegovog operatera kao zasebnog aktera prijetnje.

Za razliku od većine ransomware operatera koji su pomalo neselektivni kada traže žrtve, čini se da GOLD WINTER ima stroge kriterije pri odabiru svojih meta. Grupa slijedi mali podskup visokovrijednih ciljeva, uglavnom proizvodnih organizacija iz Sjeverne Amerike. To omogućuje najvjerojatnijim ruskim hakerima da maksimiziraju svoju dobit od svakog uspješnog provale.

Karakteristike ZLATE ZIMA

Grupa pokazuje znakove poduzimanja namjernih koraka kako bi dovela u zabludu zajednicu infoseca i otežala pripisivanje ransomwarea Hades. GOLD WINTER je često padao na bilješke o otkupnini ugroženih sustava preuzete od drugih visokoprofiliranih obitelji ransomwarea. U nekim slučajevima, HADES je postavio bilješke koje oponašaju one koje pripadaju obitelji REvil s imenima kao što su HOW-DECRYPT-.txt, dok je na drugim žrtvama prijetnja izbacila imitaciju bilješke Conti Ransomwarea (CONTACT-TO- DECRYPT.txt).

ZLATNA ZIMA, međutim, ima neke jedinstvene osobine koje je izdvajaju. Grupa se ne oslanja na centraliziranu web stranicu koja je procurila kako bi 'imenovala i posramila' svoje žrtve. Umjesto toga, svaka ugrožena organizacija usmjerava se na prilagođenu web stranicu temeljenu na Tor-u s Tox chat ID-om specifičnim za žrtvu za komunikaciju. Uključivanje usluge razmjene trenutnih poruka Tox novi je pristup koji nije prisutan u drugim ransomware operacijama. Osim toga, Hades ransomware nije dostupan za kupnju na podzemnim hakerskim forumima, što ukazuje da se prijetnja ne nudi u shemi RaaS (Ransomware as a Service) i umjesto toga radi kao privatni alat za ransomware.