Skupina GOLD WINTER pre počítačovú kriminalitu

Výskumníci v oblasti kybernetickej bezpečnosti s veľkou istotou oznámili, že za útočné operácie zahŕňajúce Hades Ransomware je zodpovedná novozaložená hackerská skupina, ktorú označili ako GOLD WINTER. Hades sa objavil na scéne počítačovej kriminality v decembri 2020 a doteraz bol využívaný proti viacerým cieľom. Predtým rôzne firmy infosec pripisovali tento škodlivý nástroj rôznym hackerským skupinám vrátane HAFNIUM a GOLD DRAKE. V skutočnosti sa GOLD DRAKE javil ako pravdepodobný vinník v dôsledku niekoľkých prekrývaní medzi Hades a ich vlastnou ransomvérovou hrozbou s názvom WastedLocker, ktorá zahŕňa podobné volania programovacieho rozhrania, využívajúce kryptor CryptOne a existenciu niekoľkých identických príkazov v oboch hrozbách. Výskumníci spoločnosti Secureworks však našli dostatok rozlišujúcich aspektov útoku Hades na to, aby jeho operátora postavili ako samostatného aktéra hrozby.

Na rozdiel od väčšiny prevádzkovateľov ransomvéru, ktorí sú pri hľadaní obetí trochu nevyberaní, sa zdá, že GOLD WINTER má prísne kritériá pri výbere svojich cieľov. Skupina sleduje malú podskupinu vysokohodnotných cieľov, najmä výrobných organizácií zo Severnej Ameriky. To umožňuje najpravdepodobnejším hackerom so sídlom v Rusku maximalizovať svoje zisky z každého úspešného narušenia.

Charakteristika GOLD WINTER

Skupina vykazuje známky toho, že podnikla úmyselné kroky na zavádzanie komunity infosec a sťažila pripisovanie ransomvéru Hades. GOLD WINTER často padali na poznámky o výkupnom pre napadnuté systémy prevzaté z iných známych rodín ransomvéru. V niektorých prípadoch HADES nasadil poznámky napodobňujúce poznámky patriace do rodiny REvil s názvami ako HOW-TO-DECRYPT-.txt, zatiaľ čo u iných obetí hrozba vypustila napodobeninu poznámky Conti Ransomware (KONTAKT-NA- DECRYPT.txt).

GOLD WINTER má však niektoré jedinečné črty, ktoré ju odlišujú. Skupina sa nespolieha na centralizovanú webovú stránku s únikom informácií, aby „pomenovala a zahanbila“ svoje obete. Namiesto toho je každá napadnutá organizácia nasmerovaná na prispôsobenú webovú stránku založenú na Tor s Tox chat ID špecifickým pre obeť poskytnutým na komunikáciu. Zahrnutie služby okamžitých správ Tox je nový prístup, ktorý nie je prítomný v iných operáciách ransomvéru. Navyše ransomvér Hades nebol sprístupnený na nákup na podzemných hackerských fórach, čo naznačuje, že hrozba sa neponúka v schéme RaaS (Ransomware ako služba) a namiesto toho sa prevádzkuje ako súkromný nástroj ransomvéru.