GOLD WINTER 사이버 범죄 그룹

사이버 보안 연구자들은 GOLD WINTER로 지정된 새로 설립 된 해커 그룹이 Hades Ransomware 와 관련된 공격 작업을 담당하고 있다고 높은 확신을 가지고보고했습니다. Hades는 2020 년 12 월 사이버 범죄 단계에 등장했으며 지금까지 여러 대상에 대해 활용되었습니다. 이전에 서로 다른 인포섹 회사들은 HAFNIUM 및 GOLD DRAKE를 포함한 다양한 해커 집단에 악성 도구를 돌 렸습니다. 실제로 GOLD DRAKE는 Hades와 유사한 프로그래밍 인터페이스 호출을 포함하는 WastedLocker라는 자체 랜섬웨어 위협, CryptOne 암호화기를 사용하고 두 위협 모두에 동일한 명령이 여러 개 존재하기 때문에 여러 번 중복되는 것으로 나타났습니다. 그러나 Secureworks의 연구원들은 Hades 공격에 대해 운영자를 별도의 위협 행위자로 설정하기에 충분한 구별 측면을 발견했습니다.

피해자를 찾을 때 다소 무차별적인 대부분의 랜섬웨어 운영자와 달리 GOLD WINTER는 대상을 선택할 때 엄격한 기준을 가지고있는 것으로 보입니다. 이 그룹은 주로 북미의 제조 조직인 고 가치 대상의 작은 하위 집합을 추적합니다. 이를 통해 러시아에 기반을 둔 해커가 성공할 때마다 수익을 극대화 할 수 있습니다.

GOLD WINTER의 특징

이 그룹은 infosec 커뮤니티를 오도하고 Hades 랜섬웨어의 귀속을 더 어렵게 만들기 위해 신중한 조치를 취하는 징후를 보여줍니다. GOLD WINTER는 다른 유명 랜섬웨어 제품군에서 가져온 손상된 시스템 랜섬 노트에 자주 떨어졌습니다. 어떤 경우에 HADES 는 HOW-TO-DECRYPT- .txt와 같은 이름을 가진 REvil 계열에 속하는 메모를 모방 한 반면 다른 희생자에게는 위협이 Conti Ransomware의 메모 (CONTACT-TO- DECRYPT.txt).

그러나 GOLD WINTER에는 차별화되는 몇 가지 독특한 특성이 있습니다. 이 그룹은 중앙 집중식 유출 웹 사이트에 의존하지 않고 피해자를 '명명하고 부끄럽게'합니다. 대신 각 감염된 조직은 통신을 위해 제공된 피해자 별 Tox 채팅 ID를 사용하여 맞춤형 Tor 기반 웹 사이트로 이동합니다. Tox 인스턴트 메시징 서비스의 포함은 다른 랜섬웨어 작업에는없는 새로운 접근 방식입니다. 또한 Hades 랜섬웨어는 지하 해커 포럼에서 구매할 수 없으며 이는 위협이 RaaS (Ransomware as a Service) 체계로 제공되지 않고 대신 개인 랜섬웨어 도구로 운영되고 있음을 나타냅니다.