ក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត GOLD WINTER

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរាយការណ៍ដោយមានទំនុកចិត្តខ្ពស់ថាក្រុម Hacker ដែលទើបបង្កើតថ្មីដែលពួកគេកំណត់ថាជា GOLD WINTER គឺទទួលខុសត្រូវចំពោះប្រតិបត្តិការវាយប្រហារដែលពាក់ព័ន្ធនឹង Hades Ransomware ។ Hades បានបង្ហាញខ្លួននៅលើឆាកឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតក្នុងខែធ្នូ ឆ្នាំ 2020 ហើយរហូតមកដល់ពេលនេះត្រូវបានប្រើប្រាស់ប្រឆាំងនឹងគោលដៅជាច្រើន។ ពីមុនក្រុមហ៊ុន infosec ផ្សេងគ្នាបានកំណត់ឧបករណ៍ព្យាបាទទៅជាក្រុម hacker ផ្សេងៗគ្នា រួមទាំង HAFNIUM និង GOLD DRAKE ។ ជាការពិតណាស់ GOLD DRAKE បានបង្ហាញខ្លួនជាពិរុទ្ធជនដែលទំនងជាដោយសារតែការត្រួតស៊ីគ្នាជាច្រើនរវាង Hades និងការគំរាមកំហែង ransomware ផ្ទាល់របស់ពួកគេដែលមានឈ្មោះថា WastedLocker ដែលរួមបញ្ចូលការហៅចូលកម្មវិធីស្រដៀងគ្នា ដោយប្រើ CryptOne cryptor និងអត្ថិភាពនៃពាក្យបញ្ជាដូចគ្នាបេះបិទនៅក្នុងការគំរាមកំហែងទាំងពីរ។ ទោះជាយ៉ាងណាក៏ដោយ អ្នកស្រាវជ្រាវរបស់ក្រុមហ៊ុន Secureworks បានរកឃើញទិដ្ឋភាពខុសប្លែកគ្នាគ្រប់គ្រាន់អំពីការវាយប្រហាររបស់ Hades ដើម្បីកំណត់ប្រតិបត្តិកររបស់ខ្លួនជាតួអង្គគំរាមកំហែងដាច់ដោយឡែក។

មិនដូចប្រតិបត្តិករ ransomware ភាគច្រើនដែលមានការរើសអើងនៅពេលស្វែងរកជនរងគ្រោះ GOLD WINTER ហាក់ដូចជាមានលក្ខណៈវិនិច្ឆ័យតឹងរ៉ឹងនៅពេលជ្រើសរើសគោលដៅរបស់វា។ ក្រុមនេះដើរតាមក្រុមតូចៗនៃគោលដៅដែលមានតម្លៃខ្ពស់ ដែលភាគច្រើនជាអង្គការផលិតមកពីអាមេរិកខាងជើង។ នេះអនុញ្ញាតឱ្យពួក Hacker ដែលមានមូលដ្ឋាននៅប្រទេសរុស្សីដែលទំនងបំផុត បង្កើនប្រាក់ចំណេញរបស់ពួកគេពីការរំលោភជោគជ័យនីមួយៗ។

លក្ខណៈពិសេសនៃរដូវរងាមាស

ក្រុមនេះបង្ហាញសញ្ញានៃការចាត់វិធានការដោយចេតនាដើម្បីបំភាន់សហគមន៍ infosec និងធ្វើឱ្យការកំណត់អត្តសញ្ញាណរបស់ Hades ransomware កាន់តែពិបាក។ GOLD WINTER ជាញឹកញាប់បានធ្លាក់ចុះនៅលើកំណត់ត្រាតម្លៃលោះរបស់ប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលដែលយកពីក្រុមគ្រួសារ ransomware ទម្រង់ខ្ពស់ផ្សេងទៀត។ ក្នុងករណីខ្លះ HADES បានដាក់ពង្រាយកំណត់ចំណាំដែលធ្វើត្រាប់តាមដែលជាកម្មសិទ្ធិរបស់ ក្រុមគ្រួសារ REvil ដែលមានឈ្មោះដូចជា HOW-TO-DECRYPT-.txt ខណៈពេលដែលជនរងគ្រោះផ្សេងទៀតការគំរាមកំហែងបានទម្លាក់ការក្លែងបន្លំកំណត់ត្រារបស់ Conti Ransomware (CONTACT-TO- DECRYPT.txt) ។

ទោះជាយ៉ាងណាក៏ដោយ រដូវរងាមាសមានលក្ខណៈពិសេសមួយចំនួនដែលកំណត់វាដាច់ពីគ្នា។ ក្រុម​នេះ​មិន​ពឹង​លើ​គេហទំព័រ​លេច​ធ្លាយ​កណ្តាល​មួយ​គឺ​ដើម្បី 'ដាក់​ឈ្មោះ​និង​អាម៉ាស់' ជនរងគ្រោះ​របស់​ខ្លួន។ ផ្ទុយទៅវិញ អង្គការដែលសម្របសម្រួលនីមួយៗត្រូវបានបញ្ជូនទៅគេហទំព័រដែលមានមូលដ្ឋានលើ Tor ដែលផលិតតាមបំណងដែលមានលេខសម្គាល់ការជជែកកំសាន្ត Tox ជាក់លាក់សម្រាប់ជនរងគ្រោះដែលផ្តល់សម្រាប់ការទំនាក់ទំនង។ ការដាក់បញ្ចូលសេវាកម្មផ្ញើសារបន្ទាន់ Tox គឺជាវិធីសាស្រ្តថ្មីដែលមិនមានវត្តមាននៅក្នុងប្រតិបត្តិការ ransomware ផ្សេងទៀត។ លើសពីនេះទៀត Hades ransomware មិនត្រូវបានបង្កើតឡើងសម្រាប់ការទិញនៅលើវេទិការបស់ពួក Hacker ក្រោមដីទេ ដោយបង្ហាញថាការគំរាមកំហែងមិនត្រូវបានផ្តល់ជូននៅក្នុងគម្រោង RaaS (Ransomware as a Service) ហើយត្រូវបានដំណើរការជំនួសវិញជាឧបករណ៍ ransomware ឯកជន។