गोल्ड विन्टर साइबर अपराध समूह

साइबरसुरक्षा अनुसन्धानकर्ताहरूले उच्च आत्मविश्वासका साथ रिपोर्ट गरेका छन् कि नयाँ स्थापना गरिएको ह्याकर समूह जसलाई उनीहरूले गोल्ड विन्टर भनेर तोकेका छन् , हेड्स र्यान्समवेयर संलग्न आक्रमणका लागि जिम्मेवार छन्। हेड्स डिसेम्बर २०२० मा साइबर क्राइम स्टेजमा देखा पर्‍यो र अहिलेसम्म धेरै लक्ष्यहरू विरुद्ध लिभरेज गरिएको छ। यसअघि विभिन्न इन्फोसेक फर्महरूले हाफनिअम र गोल्ड ड्रेकलगायत विभिन्न ह्याकर समूहहरूलाई यस मालिसियस उपकरणको श्रेय दिएका थिए। वास्तवमा, GOLD DRAKE हेड्स र WastedLocker नामको आफ्नै ransomware खतरा बीच धेरै ओभरल्यापको कारणले सम्भावित अपराधीको रूपमा देखा पर्‍यो जसमा समान प्रोग्रामिङ इन्टरफेस कलहरू, CryptOne क्रिप्टर प्रयोग गरेर, र दुबै खतराहरूमा धेरै समान आदेशहरूको अस्तित्व समावेश छ। Secureworks को अनुसन्धानकर्ताहरूले, तथापि, हेड्स आक्रमणको बारेमा यसको अपरेटरलाई एक अलग खतरा अभिनेताको रूपमा सेट गर्न पर्याप्त भिन्न पक्षहरू फेला पारे।

धेरैजसो ransomware अपरेटरहरू विपरीत जो पीडितहरूको खोजी गर्दा केही हदसम्म अन्धाधुन्ध हुन्छन्, GOLD WINTER सँग यसको लक्ष्यहरू छनौट गर्दा कडा मापदण्ड भएको देखिन्छ। समूह उच्च-मूल्य लक्ष्यहरूको सानो उपसेट पछि जान्छ, मुख्यतया उत्तरी अमेरिकाबाट निर्माण संगठनहरू। यसले सबै भन्दा सम्भावित रूसी-आधारित ह्याकरहरूलाई प्रत्येक सफल उल्लङ्घनबाट आफ्नो नाफा अधिकतम गर्न अनुमति दिन्छ।

गोल्ड विन्टर को विशेषताहरु

समूहले इन्फोसेक समुदायलाई भ्रमित गर्न र हेड्स ransomware को एट्रिब्युशन अझ गाह्रो बनाउन जानाजानी कदम चाल्ने संकेतहरू देखाउँदछ। GOLD WINTER प्राय: अन्य हाई-प्रोफाइल ransomware परिवारहरूबाट लिइएको सम्झौता प्रणाली फिरौती नोटहरूमा छोडिन्छ। केही उदाहरणहरूमा, HADES ले HOW-TO-DECRYPT-.txt जस्ता नामहरू सहित REvil परिवारसँग सम्बन्धित व्यक्तिहरूको नक्कल गर्ने नोटहरू तैनात गर्यो जबकि अन्य पीडितहरूमा धम्कीले Conti Ransomware को नोट (CONTACT-TO-) को नक्कल गर्यो। DECRYPT.txt)।

गोल्ड विन्टर, तथापि, केहि अद्वितीय विशेषताहरु छ कि यो अलग सेट। समूह एक केन्द्रीकृत चुहावट वेबसाइट मा भर पर्दैन 'नाम र लाजमर्दो' यसको शिकार थियो। यसको सट्टामा, प्रत्येक सम्झौता गरिएको संगठनलाई संचारको लागि प्रदान गरिएको पीडित-विशिष्ट Tox च्याट आईडीको साथ अनुकूलन-निर्मित टोर-आधारित वेबसाइटमा निर्देशित गरिन्छ। Tox तत्काल सन्देश सेवाको समावेश एक उपन्यास दृष्टिकोण हो जुन अन्य ransomware सञ्चालनहरूमा उपस्थित छैन। थप रूपमा, हेड्स ransomware भूमिगत ह्याकर फोरमहरूमा खरिदका लागि उपलब्ध गराइएको छैन, जसले खतरालाई RaaS (Ransomware as a Service) योजनामा प्रस्ताव गरिएको छैन र यसको सट्टा निजी ransomware उपकरणको रूपमा सञ्चालन गरिएको छ भन्ने संकेत गर्दछ।