GOLD WINTER Cybercrime Group

Badacze cyberbezpieczeństwa poinformowali z dużą pewnością, że nowo utworzona grupa hakerów, którą oznaczyli jako GOLD WINTER, jest odpowiedzialna za operacje ataku z wykorzystaniem Hades Ransomware . Hades pojawił się na scenie cyberprzestępczości w grudniu 2020 r. i do tej pory był wykorzystywany przeciwko wielu celom. Wcześniej różne firmy z branży infosec przypisywały złośliwe narzędzie różnym grupom hakerów, w tym HAFNIUM i GOLD DRAKE. Rzeczywiście, GOLD DRAKE pojawił się jako prawdopodobny winowajca ze względu na kilka nakładających się na siebie Hades i ich własnego zagrożenia ransomware o nazwie WastedLocker, które zawierają podobne wywołania interfejsu programistycznego, wykorzystujące CryptOne, oraz istnienie kilku identycznych poleceń w obu zagrożeniach. Badacze z Secureworks odkryli jednak wystarczająco wiele wyróżniających aspektów ataku Hades, aby ustawić jego operatora jako oddzielnego aktora zagrożenia.

W przeciwieństwie do większości operatorów oprogramowania ransomware, którzy szukają ofiar nieco bezkrytycznie, GOLD WINTER wydaje się mieć ścisłe kryteria przy wyborze swoich celów. Grupa podąża za niewielkim podzbiorem celów o wysokiej wartości, głównie organizacjami produkcyjnymi z Ameryki Północnej. Pozwala to najbardziej prawdopodobnym hakerom mającym siedzibę w Rosji na maksymalizację zysków z każdego udanego włamania.

Charakterystyka GOLD WINTER

Grupa wykazuje oznaki podejmowania celowych kroków, aby wprowadzić w błąd społeczność infosec i utrudnić przypisanie oprogramowania ransomware Hades. . GOLD WINTER często upuszczał na zaatakowanych systemach notatki dotyczące okupu zaczerpnięte z innych głośnych rodzin oprogramowania ransomware. W niektórych przypadkach HADES wdrożył notatki imitujące te należące do rodziny REvil o nazwach takich jak HOW-TO-DECRYPT-.txt, podczas gdy na innych ofiarach zagrożenie zrzuciło imitację notatki Conti Ransomware (CONTACT-TO- ODSZYFRUJ.txt).

GOLD WINTER ma jednak kilka unikalnych cech, które ją wyróżniają. Grupa nie polega na scentralizowanej stronie internetowej, która ma „nazwiać i zawstydzać" swoje ofiary. Zamiast tego, każda zhakowana organizacja jest kierowana na niestandardową stronę internetową opartą na Toru z identyfikatorem czatu Tox przeznaczonym dla ofiary, dostarczonym do komunikacji. Włączenie usługi wiadomości błyskawicznych Tox to nowatorskie podejście, które nie występuje w innych operacjach ransomware. Ponadto oprogramowanie ransomware Hades nie zostało udostępnione do zakupu na podziemnych forach hakerskich, co wskazuje, że zagrożenie nie jest oferowane w ramach programu RaaS (Ransomware as a Service), a zamiast tego działa jako prywatne narzędzie ransomware.