Grupul GOLD WINTER Cybercrime

Cercetătorii în domeniul securității cibernetice au raportat cu mare încredere că un grup de hackeri nou înființat pe care l-au desemnat ca fiind GOLD WINTER este responsabil pentru operațiunile de atac care implică Hades Ransomware . Hades a apărut pe scena crimei cibernetice în decembrie 2020 și până acum a fost folosit împotriva mai multor ținte. Anterior, diferite firme infosec au atribuit instrumentul rău intenționat unor colectivități diferite de hackeri, inclusiv HAFNIUM și GOLD DRAKE. Într-adevăr, GOLD DRAKE a apărut ca vinovatul probabil din cauza mai multor suprapuneri dintre Hades și propria lor amenințare ransomware numită WastedLocker, care includ apeluri similare la interfața de programare, folosind cripto-ul CryptOne și existența mai multor comenzi identice în ambele amenințări. Cercetătorii de la Secureworks au găsit totuși suficiente aspecte distinctive despre atacul Hades pentru a-și stabili operatorul ca un actor separat de amenințare.

Spre deosebire de majoritatea operatorilor de ransomware care sunt oarecum nediscriminatori atunci când caută victime, GOLD WINTER pare să aibă criterii stricte atunci când își aleagă țintele. Grupul urmărește un mic subset de ținte de mare valoare, în principal organizații de producție din America de Nord. Acest lucru permite celor mai probabili hackeri din Rusia să-și maximizeze profiturile din fiecare încălcare reușită.

Caracteristicile GOLD WINTER

Grupul dă semne că a luat măsuri deliberate pentru a induce în eroare comunitatea infosec și pentru a face atribuirea ransomware-ului Hades mai dificilă. GOLD WINTER a fost deseori aruncat pe notele de răscumpărare ale sistemelor compromise luate de la alte familii de ransomware de profil înalt. În unele cazuri, HADES a desfășurat note care le imitau pe cele aparținând familiei REvil cu nume precum HOW-TO-DECRYPT-.txt, în timp ce asupra altor victime amenințarea a renunțat la o imitație a notei Conti Ransomware (CONTACT-TO-). DECRYPT.txt).

GOLD WINTER, totuși, are unele trăsături unice care îl deosebesc. Grupul nu se bazează pe un site web centralizat de scurgeri, pentru a-și „numi și rușina” victimele. În schimb, fiecare organizație compromisă este direcționată către un site web personalizat bazat pe Tor, cu un ID de chat Tox specific victimei furnizat pentru comunicații. Includerea serviciului de mesagerie instant Tox este o abordare nouă, care nu este prezentă în alte operațiuni ransomware. În plus, ransomware-ul Hades nu a fost pus la dispoziție pentru cumpărare pe forumurile subterane pentru hackeri, ceea ce indică faptul că amenințarea nu este oferită într-o schemă RaaS (Ransomware ca serviciu) și este operată în schimb ca un instrument privat de ransomware.