Kumpulan Jenayah Siber GOLD WINTER

Penyelidik keselamatan siber telah melaporkan dengan penuh keyakinan bahawa kumpulan penggodam yang baru ditubuhkan yang mereka tetapkan sebagai GOLD WINTER bertanggungjawab untuk operasi serangan yang melibatkan Hades Ransomware . Hades muncul di peringkat jenayah siber pada Disember 2020 dan setakat ini telah dimanfaatkan terhadap pelbagai sasaran. Firma infosec yang berbeza sebelum ini telah mengaitkan alat berniat jahat itu kepada pelbagai, kolektif penggodam yang berbeza termasuk HAFNIUM dan GOLD DRAKE. Sesungguhnya, GOLD DRAKE muncul sebagai penyebab yang mungkin disebabkan oleh beberapa pertindihan antara Hades dan ancaman perisian tebusan mereka sendiri bernama WastedLocker yang termasuk panggilan antara muka pengaturcaraan yang serupa, menggunakan cryptor CryptOne, dan kewujudan beberapa arahan yang sama dalam kedua-dua ancaman. Penyelidik Secureworks, walau bagaimanapun, mendapati aspek yang cukup membezakan tentang serangan Hades untuk menetapkan pengendalinya sebagai pelakon ancaman yang berasingan.

Tidak seperti kebanyakan pengendali perisian tebusan yang agak sembarangan ketika mencari mangsa, GOLD WINTER nampaknya mempunyai kriteria yang ketat apabila memilih sasarannya. Kumpulan itu mengejar subset kecil sasaran bernilai tinggi, terutamanya organisasi pembuatan dari Amerika Utara. Ini membolehkan penggodam yang paling berkemungkinan berpangkalan di Rusia untuk memaksimumkan keuntungan mereka daripada setiap pelanggaran yang berjaya.

Ciri-ciri GOLD WINTER

Kumpulan itu menunjukkan tanda-tanda mengambil langkah yang disengajakan untuk mengelirukan komuniti infosec dan menjadikan atribusi perisian tebusan Hades lebih sukar. GOLD WINTER sering digugurkan pada nota tebusan sistem terjejas yang diambil daripada keluarga perisian tebusan berprofil tinggi lain. Dalam sesetengah keadaan, HADES menggunakan nota yang meniru nota milik keluarga REvil dengan nama seperti HOW-TO-DECRYPT-.txt manakala pada mangsa lain ancaman itu menggugurkan tiruan nota Conti Ransomware (HUBUNGI-KE-- DECRYPT.txt).

GOLD WINTER, bagaimanapun, mempunyai beberapa ciri unik yang membezakannya. Kumpulan itu tidak bergantung pada laman web kebocoran berpusat untuk 'menamakan dan memalukan' mangsanya. Sebaliknya, setiap organisasi yang terjejas diarahkan ke tapak web berasaskan Tor yang dibuat tersuai dengan ID sembang Tox khusus mangsa yang disediakan untuk komunikasi. Kemasukan perkhidmatan pemesejan segera Tox ialah pendekatan baru yang tidak terdapat dalam operasi perisian tebusan lain. Selain itu, perisian tebusan Hades belum disediakan untuk pembelian di forum penggodam bawah tanah, menunjukkan bahawa ancaman itu tidak ditawarkan dalam skim RaaS (Ransomware sebagai Perkhidmatan) dan sebaliknya dikendalikan sebagai alat perisian tebusan peribadi.