GOLD WINTER kibernoziegumu grupa

Kiberdrošības pētnieki ir ar lielu pārliecību ziņojuši, ka jaunizveidota hakeru grupa, ko viņi nosauca par GOLD WINTER, ir atbildīga par uzbrukuma operācijām, kas saistītas ar Hades Ransomware . Hadess parādījās kibernoziedzības posmā 2020. gada decembrī, un līdz šim ir bijis vērsts pret vairākiem mērķiem. Iepriekš dažādi infosec uzņēmumi ir piedēvējuši ļaunprātīgo rīku dažādām hakeru grupām, tostarp HAFNIUM un GOLD DRAKE. Patiešām, GOLD DRAKE parādījās kā iespējamais vaininieks, jo vairākkārt pārklājās Hades un viņu pašu izpirkuma programmatūras draudi ar nosaukumu WastedLocker, kas ietver līdzīgus programmēšanas interfeisa izsaukumus, izmantojot CryptOne šifrētāju, un vairāku identisku komandu esamību abos apdraudējumos. Tomēr Secureworks pētnieki atrada pietiekami daudz atšķirīgu aspektu par Hades uzbrukumu, lai tā operatoru noteiktu kā atsevišķu apdraudējuma dalībnieku.

Atšķirībā no vairuma izspiedējvīrusu operatoru, kuri ir zināmā mērā neizvēlīgi, meklējot upurus, šķiet, ka GOLD WINTER ir stingri kritēriji, izvēloties mērķus. Grupa tiecas pēc nelielas augstvērtīgu mērķu apakškopas, galvenokārt ražošanas organizācijām no Ziemeļamerikas. Tas ļauj visticamākajiem Krievijā bāzētajiem hakeriem maksimāli palielināt peļņu no katra veiksmīga pārkāpuma.

ZELTA ZIEMAS raksturojums

Grupa liecina par apzinātu darbību veikšanu, lai maldinātu infosec kopienu un apgrūtinātu Hades izpirkuma programmatūras attiecināšanu. GOLD WINTER bieži nokrita uz kompromitētajām sistēmām izpirkuma piezīmes, kas ņemtas no citām augsta līmeņa izpirkuma programmu ģimenēm. Dažos gadījumos HADES izvietoja piezīmes, kas atdarina REvil ģimenei piederošās piezīmes ar tādiem nosaukumiem kā HOW-TO-DECRYPT-.txt, savukārt citiem upuriem draudi nometa Conti Ransomware piezīmes imitāciju (CONTACT-TO- DECRYPT.txt).

Tomēr GOLD WINTER ir dažas unikālas iezīmes, kas to atšķir. Grupa nepaļaujas uz centralizētu noplūdes vietni, lai tās upurus "nosauktu un apkaunotu". Tā vietā katra apdraudētā organizācija tiek novirzīta uz pēc pasūtījuma izgatavotu Tor balstītu vietni, kurā saziņai tiek nodrošināts upurim raksturīgs Tox tērzēšanas ID. Tox tūlītējās ziņojumapmaiņas pakalpojuma iekļaušana ir jauna pieeja, kas nav pieejama citās izspiedējvīrusu operācijās. Turklāt Hades ransomware nav bijis pieejams iegādei pazemes hakeru forumos, norādot, ka draudi netiek piedāvāti RaaS (Ransomware as a Service) shēmā un tā vietā tiek darbināti kā privāts izpirkuma programmatūras rīks.