ЗОЛОТАЯ ЗИМА Cybercrime Group

Исследователи кибербезопасности с высокой степенью уверенности сообщили, что недавно созданная группа хакеров, которую они обозначили как GOLD WINTER, несет ответственность за операции атаки с использованием Hades Ransomware . Hades появился на стадии киберпреступности в декабре 2020 года и до сих пор использовался против нескольких целей. Ранее различные фирмы, занимающиеся информационными технологиями, приписывали вредоносный инструмент разным группам хакеров, включая HAFNIUM и GOLD DRAKE. Действительно, GOLD DRAKE оказался вероятным виновником из-за нескольких совпадений между Hades и их собственной угрозой вымогателя под названием WastedLocker, которая включает аналогичные вызовы интерфейса программирования, использование шифровальщика CryptOne и наличие нескольких идентичных команд в обеих угрозах. Однако исследователи Secureworks обнаружили достаточно отличительных аспектов атаки Hades, чтобы выделить ее оператора в качестве отдельного субъекта угрозы.

В отличие от большинства операторов программ-вымогателей, которые несколько неразборчивы при поиске жертв, GOLD WINTER, похоже, придерживается строгих критериев при выборе своих целей. Группа преследует небольшую группу ценных целей, в основном производственные организации из Северной Америки. Это позволяет наиболее вероятным хакерам из России получать максимальную прибыль от каждого успешного взлома.

Характеристики GOLD WINTER

Группа демонстрирует признаки того, что она предпринимает преднамеренные шаги, чтобы ввести в заблуждение сообщество информационной безопасности и затруднить атрибуцию вымогателя Hades. GOLD WINTER часто попадал на скомпрометированные системы с записками о выкупе, взятыми из других известных семейств программ-вымогателей. В некоторых случаях HADES размещал заметки, имитирующие записи, принадлежащие семейству REvil, с такими именами, как HOW-TO-DECRYPT- <идентификатор жертвы> .txt, в то время как на других жертвах угроза отбрасывала имитацию заметки программы-вымогателя Conti (CONTACT-TO- DECRYPT.txt).

ЗОЛОТАЯ ЗИМА, однако, имеет некоторые уникальные черты, которые выделяют ее. Группа не полагается на централизованный веб-сайт утечки, чтобы «назвать и опозорить» своих жертв. Вместо этого каждая взломанная организация направляется на специально созданный веб-сайт на базе Tor с идентификатором чата Tox для конкретной жертвы, предоставляемым для связи. Включение службы обмена мгновенными сообщениями Tox - это новый подход, которого нет в других операциях с программами-вымогателями. Кроме того, вымогатель Hades не был доступен для покупки на подпольных хакерских форумах, что указывает на то, что угроза не предлагается в схеме RaaS (Ransomware as a Service), а вместо этого используется как частный инструмент вымогателя.