ARANY TÉLI Kiberbűnözés Csoport

A kiberbiztonsági kutatók nagy magabiztossággal számoltak be arról, hogy egy újonnan létrehozott hackercsoport, amelyet GOLD WINTER néven jelöltek meg, felelős a Hades Ransomware-t érintő támadási műveletekért. Hádész 2020 decemberében jelent meg a kiberbűnözés színterén, és eddig több célpont ellen is bevett. Korábban különböző infosec cégek a rosszindulatú eszközt különféle, különböző hacker-kollektíváknak tulajdonították, köztük a HAFNIUM és a GOLD DRAKE. Valójában a GOLD DRAKE tűnt a valószínű bűnösnek a Hades és a saját, WastedLocker nevű ransomware fenyegetésük közötti átfedés miatt, amelyek hasonló programozási interfész hívásokat tartalmaznak, a CryptOne titkosító használatával, és több azonos parancs létezése mindkét fenyegetésben. A Secureworks kutatói azonban elég megkülönböztető szempontot találtak a Hádész-támadással kapcsolatban ahhoz, hogy üzemeltetőjét külön fenyegető szereplőként állítsák be.

Ellentétben a legtöbb zsarolóprogram-kezelővel, akik némileg válogatás nélkül keresik az áldozatokat, a GOLD WINTER szigorú kritériumokat alkalmaz a célpontok kiválasztásakor. A csoport a nagy értékű célok egy kis részét követi, főként az észak-amerikai gyártó szervezeteket. Ez lehetővé teszi a legvalószínűbb oroszországi hackerek számára, hogy maximalizálják nyereségüket minden sikeres jogsértésből.

ARANY TÉL jellemzői

A csoport arra utal, hogy szándékos lépéseket tesz az infosec közösség félrevezetésére, és megnehezíti a Hades ransomware hozzárendelését. A GOLD WINTER gyakran esett a kompromittált rendszerekre más nagy horderejű ransomware családoktól származó váltságdíj-jegyzeteket. Egyes esetekben a HADES a REvil családhoz tartozókat utánzó jegyzeteket telepített olyan névvel, mint a HOGYAN-DECRYPT-<áldozatazonosító>.txt, míg más áldozatoknál a fenyegetés a Conti Ransomware jegyzetének utánzatát dobta el (CONTACT-TO- DECRYPT.txt).

A GOLD WINTER azonban rendelkezik néhány egyedi tulajdonsággal, amelyek megkülönböztetik. A csoport nem támaszkodik egy központosított, kiszivárogtatott weboldalra, hogy „nevezze és szégyellje” áldozatait. Ehelyett minden feltört szervezetet egy egyedileg készített Tor-alapú webhelyre irányítanak, amelyen egy áldozat-specifikus Tox chat-azonosító biztosított a kommunikációhoz. A Tox azonnali üzenetküldő szolgáltatás bevonása olyan újszerű megközelítés, amely más ransomware-műveletekben nincs jelen. Ezenkívül a Hades ransomware-t nem tették elérhetővé földalatti hackerfórumokon, ami azt jelzi, hogy a fenyegetést nem RaaS (Ransomware as a Service) rendszerben kínálják, hanem privát zsarolóprogramként üzemeltetik.