GOLD WINTER elektroninių nusikaltimų grupė
Kibernetinio saugumo tyrinėtojai labai užtikrintai pranešė, kad naujai įkurta įsilaužėlių grupė, kurią jie pavadino GOLD WINTER, yra atsakinga už atakų, susijusių su Hades Ransomware, operacijas. Hadesas pasirodė kibernetinių nusikaltimų scenoje 2020 m. gruodžio mėn. ir iki šiol buvo nukreiptas prieš kelis taikinius. Anksčiau įvairios infosec įmonės priskirdavo kenkėjišką įrankį įvairiems, skirtingiems įsilaužėlių kolektyvams, įskaitant HAFNIUM ir GOLD DRAKE. Iš tiesų, GOLD DRAKE pasirodė kaip tikėtinas kaltininkas dėl kelių Hades ir jų pačių išpirkos programinės įrangos grėsmės, pavadintos WastedLocker, sutapimų, apimančių panašius programavimo sąsajos iškvietimus, naudojant CryptOne šifravimo priemonę, ir kelių identiškų komandų abiejose grėsmėse. Tačiau „Secureworks“ tyrėjai rado pakankamai išskirtinių Hadeso atakos aspektų, kad jos operatorius būtų atskiras grėsmės veikėjas.
Skirtingai nuo daugelio išpirkos reikalaujančių programų operatorių, kurie yra šiek tiek beatodairiškai ieškodami aukų, atrodo, kad GOLD WINTER pasirenka griežtus kriterijus. Grupė siekia nedidelio pogrupio didelės vertės tikslų, daugiausia gamybos organizacijų iš Šiaurės Amerikos. Tai leidžia labiausiai tikėtiems Rusijos įsilaužėliams maksimaliai padidinti savo pelną iš kiekvieno sėkmingo pažeidimo.
AUKSINĖS ŽIEMOS ypatybės
Grupė rodo, kad imasi tyčinių veiksmų, kad suklaidintų infosec bendruomenę ir apsunkintų Hades išpirkos reikalaujančios programinės įrangos priskyrimą. GOLD WINTER dažnai nukrito ant pažeistų sistemų išpirkos raštelių, paimtų iš kitų aukšto lygio išpirkos programų šeimų. Kai kuriais atvejais HADES įdiegė užrašus, imituojančius REvil šeimai priklausančius užrašus tokiais pavadinimais kaip HOW-TO-DECRYPT-
Tačiau GOLD WINTER turi keletą unikalių bruožų, kurie ją išskiria. Grupė nepasitiki centralizuota nutekėjusia svetaine, kuri „įvardytų ir sugėdintų“ savo aukas. Vietoj to, kiekviena pažeista organizacija nukreipiama į pagal užsakymą sukurtą „Tor“ svetainę su konkrečiai aukai skirtu „Tox“ pokalbių ID, suteikiamu komunikacijai. „Tox“ momentinių pranešimų paslaugos įtraukimas yra naujas metodas, kurio nėra kitose „ransomware“ operacijose. Be to, Hades ransomware nebuvo galima įsigyti požeminiuose įsilaužėlių forumuose, o tai rodo, kad grėsmė nėra siūloma pagal RaaS (Ransomware as a Service) schemą, o veikia kaip privatus išpirkos reikalaujantis įrankis.
