GOLD WINTER Cybercrime Group

I ricercatori della sicurezza informatica hanno riferito con grande sicurezza che un gruppo di hacker di nuova costituzione che hanno designato come GOLD WINTER è responsabile delle operazioni di attacco che coinvolgono Hades Ransomware. Hades è apparso sulla scena del crimine informatico nel dicembre 2020 e finora è stato sfruttato contro più obiettivi. In precedenza diverse società di infosec hanno attribuito lo strumento dannoso a vari collettivi di hacker diversi, tra cui HAFNIUM e GOLD DRAKE. In effetti, GOLD DRAKE è apparso come il probabile colpevole a causa di diverse sovrapposizioni tra Hades e la propria minaccia ransomware denominata WastedLocker che include chiamate di interfaccia di programmazione simili, utilizzando il crittografo CryptOne e l'esistenza di diversi comandi identici in entrambe le minacce. I ricercatori di Secureworks, tuttavia, hanno trovato sufficienti aspetti distintivi dell'attacco di Hades per impostare il suo operatore come un attore di minacce separato.

A differenza della maggior parte degli operatori di ransomware che sono in qualche modo indiscriminati quando cercano le vittime, GOLD WINTER sembra avere criteri rigorosi nella scelta dei suoi obiettivi. Il gruppo persegue un piccolo sottoinsieme di obiettivi di alto valore, principalmente organizzazioni manifatturiere del Nord America. Ciò consente ai più probabili hacker con sede in Russia di massimizzare i loro profitti da ogni violazione riuscita.

Caratteristiche di GOLD WINTER

Il gruppo mostra segni di voler prendere misure deliberate per fuorviare la comunità infosec e rendere più difficile l'attribuzione del ransomware Hades. GOLD WINTER spesso cadeva sulle note di riscatto dei sistemi compromessi prese da altre famiglie di ransomware di alto profilo. In alcuni casi, HADES ha distribuito note che imitavano quelle appartenenti alla famiglia REvil con nomi come HOW-TO-DECRYPT-.txt mentre su altre vittime la minaccia ha fatto cadere un'imitazione della nota di Conti Ransomware (CONTACT-TO- DECRYPT.txt).

GOLD WINTER, tuttavia, ha alcuni tratti unici che lo contraddistinguono. Il gruppo non fa affidamento su un sito Web di perdite centralizzato per "nominare e vergognare" le sue vittime. Invece, ogni organizzazione compromessa viene indirizzata a un sito Web personalizzato basato su Tor con un ID chat Tox specifico della vittima fornito per le comunicazioni. L'inclusione del servizio di messaggistica istantanea Tox è un nuovo approccio che non è presente in altre operazioni di ransomware. Inoltre, il ransomware Hades non è stato reso disponibile per l'acquisto sui forum di hacker sotterranei, il che indica che la minaccia non viene offerta in uno schema RaaS (Ransomware as a Service) e viene invece utilizzata come strumento di ransomware privato.