GOLD WINTER Cybercrime Group

Cybersecurity-onderzoekers hebben met veel vertrouwen gemeld dat een nieuw opgerichte hackergroep die ze hebben aangeduid als GOLD WINTER, verantwoordelijk is voor de aanvalsoperaties waarbij de Hades Ransomware betrokken is. Hades verscheen in december 2020 op het podium van cybercriminaliteit en is tot nu toe ingezet tegen meerdere doelen. Voorheen hebben verschillende infosec-bedrijven de kwaadaardige tool toegeschreven aan verschillende, verschillende hackercollectieven, waaronder HAFNIUM en GOLD DRAKE. GOLD DRAKE verscheen inderdaad als de waarschijnlijke boosdoener vanwege verschillende overlappingen tussen Hades en hun eigen ransomware-bedreiging, WastedLocker genaamd, met vergelijkbare programmeerinterface-aanroepen, met behulp van de CryptOne-cryptor, en het bestaan van verschillende identieke opdrachten in beide bedreigingen. De onderzoekers van Secureworks vonden echter genoeg onderscheidende aspecten van de Hades-aanval om de operator als een afzonderlijke bedreigingsacteur te plaatsen.

In tegenstelling tot de meeste ransomware-operators die enigszins willekeurig zijn bij het zoeken naar slachtoffers, lijkt GOLD WINTER strikte criteria te hebben bij het kiezen van zijn doelen. De groep streeft naar een kleine subset van hoogwaardige doelen, voornamelijk productieorganisaties uit Noord-Amerika. Hierdoor kunnen de meest waarschijnlijke in Rusland gevestigde hackers hun winst uit elke succesvolle inbreuk maximaliseren.

Kenmerken van GOUD WINTER

De groep vertoont tekenen van opzettelijke stappen om de infosec-gemeenschap te misleiden en de toewijzing van de Hades-ransomware moeilijker te maken. GOLD WINTER liet vaak losgeldnota's van andere spraakmakende ransomware-families op de gecompromitteerde systemen vallen. In sommige gevallen plaatste HADES notities die degenen imiteerden die tot de REvil- familie behoorden met namen als HOW-TO-DECRYPT-.txt, terwijl bij andere slachtoffers de dreiging een imitatie van de Conti Ransomware-notitie (CONTACT-TO- DECRYPT.txt).

GOUDEN WINTER heeft echter enkele unieke eigenschappen die hem onderscheiden. De groep vertrouwt niet op een gecentraliseerde lekwebsite om de slachtoffers te 'noemen en te schande te maken'. In plaats daarvan wordt elke gecompromitteerde organisatie doorverwezen naar een op maat gemaakte Tor-gebaseerde website met een slachtofferspecifieke Tox-chat-ID voor communicatie. De opname van de Tox instant messaging-service is een nieuwe benadering die niet aanwezig is in andere ransomware-operaties. Bovendien is de Hades-ransomware niet beschikbaar gesteld voor aankoop op ondergrondse hackerforums, wat aangeeft dat de dreiging niet wordt aangeboden in een RaaS-schema (Ransomware as a Service) en in plaats daarvan wordt gebruikt als een privé-ransomwaretool.