GOLD WINTER Cybercrime Group

Cybersikkerhetsforskere har rapportert med stor sikkerhet at en nyetablert hackergruppe som de utpekte som GOLD WINTER er ansvarlig for angrepsoperasjonene som involverer Hades Ransomware . Hades dukket opp på cyberkriminalitetsscenen i desember 2020 og har så langt blitt utnyttet mot flere mål. Tidligere har forskjellige infosec-firmaer tilskrevet det ondsinnede verktøyet til forskjellige, forskjellige hackerkollektiver, inkludert HAFNIUM og GOLD DRAKE. Faktisk dukket GOLD DRAKE opp som den sannsynlige skyldige på grunn av flere overlappinger mellom Hades og deres egen løsepengevare-trussel kalt WastedLocker som inkluderer lignende programmeringsgrensesnittkaller, ved bruk av CryptOne-krypten, og eksistensen av flere identiske kommandoer i begge truslene. Secureworks forskere fant imidlertid nok særegne aspekter ved Hades-angrepet til å sette operatøren som en egen trusselaktør.

I motsetning til de fleste løsepengevareoperatører som er noe vilkårlige når de leter etter ofre, ser det ut til at GOLD WINTER har strenge kriterier når de velger mål. Konsernet går etter en liten undergruppe av mål med høy verdi, hovedsakelig produksjonsorganisasjoner fra Nord-Amerika. Dette lar de mest sannsynlige russisk-baserte hackerne maksimere fortjenesten fra hvert vellykket brudd.

GULL VINTERENS kjennetegn

Gruppen viser tegn på å ta bevisste skritt for å villede infosec-fellesskapet og gjøre tildelingen av Hades løsepengevare vanskeligere. GOLD WINTER falt ofte på de kompromitterte systemenes løsepenger fra andre høyprofilerte løsepengeprogramfamilier. I noen tilfeller distribuerte HADES notater som imiterte de som tilhørte REvil- familien med navn som HOW-TO-DECRYPT-.txt, mens trusselen på andre ofre droppet en imitasjon av Conti Ransomware-notatet (CONTACT-TO- DECRYPT.txt).

GULL VINTER har imidlertid noen unike egenskaper som skiller den. Gruppen er ikke avhengig av et sentralisert lekkasjenettsted for å "navngi og skamme" sine ofre. I stedet blir hver kompromitterte organisasjon dirigert til et skreddersydd Tor-basert nettsted med en offerspesifikk Tox-chat-ID gitt for kommunikasjon. Inkluderingen av direktemeldingstjenesten Tox er en ny tilnærming som ikke finnes i andre løsepengevareoperasjoner. I tillegg har ikke Hades løsepengevare blitt gjort tilgjengelig for kjøp på underjordiske hackerfora, noe som indikerer at trusselen ikke tilbys i en RaaS (Ransomware as a Service)-ordning og i stedet drives som et privat løsepengeverktøy.