GOLD WINTER Cybercrime Group

Os pesquisadores de segurança cibernética relataram com grande confiança que um grupo de hackers recém-estabelecido, que eles designaram como GOLD WINTER, é responsável pelas operações de ataque envolvendo o Hades Ransomware. O Hades apareceu no palco do crime cibernético em dezembro de 2020 e até agora tem sido usado contra vários alvos. Anteriormente, diferentes empresas da infosec atribuíram a ferramenta maliciosa a vários grupos de hackers, incluindo HAFNIUM e GOLD DRAKE. Na verdade, GOLD DRAKE apareceu como o provável culpado devido a várias sobreposições entre o Hades e sua própria ameaça de ransomware chamada WastedLocker, que inclui chamadas de interface de programação semelhantes, usando o cryptor CryptOne, e a existência de vários comandos idênticos em ambas as ameaças. Os pesquisadores da Secureworks, no entanto, encontraram aspectos distintos suficientes sobre o ataque ao Hades para definir seu operador como um ator de ameaça separado.

Ao contrário da maioria dos operadores de ransomware que são um tanto indiscriminados ao procurar por vítimas, GOLD WINTER parece ter critérios rígidos ao escolher seus alvos. O grupo vai atrás de um pequeno subconjunto de alvos de alto valor, principalmente organizações de manufatura da América do Norte. Isso permite que os hackers russos mais prováveis maximizem seus lucros com cada violação bem-sucedida.

Características do GOLD WINTER

O grupo mostra sinais de tomar medidas deliberadas para enganar a comunidade infosec e tornar a atribuição do ransomware Hades mais difícil. GOLD WINTER frequentemente incluía notas de resgate de sistemas comprometidos tiradas de outras famílias de ransomware de alto perfil. Em alguns casos, o HADES implantou notas imitando os pertencentes à família do REvil com nomes como HOW-TO-DECRYPT- .txt, enquanto em outras vítimas a ameaça deixou cair uma imitação da nota do Conti Ransomware (CONTACT-TO- DECRYPT.txt).

GOLD WINTER, no entanto, tem algumas características únicas que o diferenciam. O grupo não depende de um site de vazamento centralizado para 'nomear e envergonhar' suas vítimas. Em vez disso, cada organização comprometida é direcionada a um site personalizado baseado em Tor com um ID de bate-papo Tox específico da vítima fornecido para comunicações. A inclusão do serviço de mensagens instantâneas Tox é uma abordagem inovadora que não está presente em outras operações de ransomware. Além disso, o ransomware Hades não foi disponibilizado para compra em fóruns de hackers clandestinos, indicando que a ameaça não está sendo oferecida em um esquema RaaS (Ransomware as a Service) e, em vez disso, é operado como uma ferramenta de ransomware privada.