GOLD WINTER Cyber Crime Group

Raziskovalci kibernetske varnosti so z velikim zaupanjem poročali, da je za napade, ki vključujejo Hades Ransomware, odgovorna novoustanovljena hekerska skupina, ki so jo označili kot GOLD WINTER. Hades se je na odru kibernetskega kriminala pojavil decembra 2020 in je bil doslej uporabljen proti številnim ciljem. Prej so različna podjetja infosec pripisovala zlonamerno orodje različnim, različnim hekerskim kolektivom, vključno s HAFNIUM in GOLD DRAKE. Dejansko se je GOLD DRAKE pojavil kot verjetni krivec zaradi več prekrivanj med Hadesom in njihovo lastno grožnjo z izsiljevalsko programsko opremo z imenom WastedLocker, ki vključujejo podobne klice programskega vmesnika z uporabo kriptorja CryptOne in obstoja več enakih ukazov v obeh grožnjah. Raziskovalci podjetja Secureworks pa so odkrili dovolj razlikovalnih vidikov napada v Hadu, da so njegovega operaterja postavili kot ločenega akterja grožnje.

Zdi se, da ima GOLD WINTER stroga merila pri izbiri svojih ciljev za razliko od večine operaterjev izsiljevalske programske opreme, ki so pri iskanju žrtev nekoliko neselektivni. Skupina sledi majhni skupini ciljev z visoko vrednostjo, predvsem proizvodnih organizacij iz Severne Amerike. To najverjetnejšim ruskim hekerjem omogoča, da povečajo svoj dobiček od vsake uspešne kršitve.

Značilnosti GOLD WINTER

Skupina kaže znake, da je sprejela namerne korake, da bi zavajala skupnost infosec in otežila pripisovanje odkupne programske opreme Hades. GOLD WINTER se je pogosto spustil na zapiske o odkupnini ogroženih sistemov, ki so jih vzeli iz drugih odmevnih družin odkupovalne programske opreme. V nekaterih primerih je HADES namestil opombe, ki posnemajo tiste, ki pripadajo družini REvil z imeni, kot je HOW-TO-DECRYPT-.txt, medtem ko je pri drugih žrtvah grožnja spustila imitacijo opombe Conti Ransomware (CONTACT-TO- DECRYPT.txt).

ZLATA ZIMA pa ima nekaj edinstvenih lastnosti, ki jo ločujejo. Skupina se ne zanaša na centralizirano spletno mesto, ki pušča informacije, da bi 'poimenovala in osramotila' svoje žrtve. Namesto tega je vsaka ogrožena organizacija usmerjena na po meri izdelano spletno mesto Tor z ID-jem za klepet Tox, specifičnim za žrtev, ki je na voljo za komunikacijo. Vključitev storitve za takojšnje sporočanje Tox je nov pristop, ki ni prisoten v drugih operacijah izsiljevalske programske opreme. Poleg tega izsiljevalska programska oprema Hades ni bila na voljo za nakup na podzemnih hekerskih forumih, kar kaže, da grožnja ni na voljo v shemi RaaS (Ransomware as a Service) in se namesto tega uporablja kot zasebno orodje za izsiljevalsko programsko opremo.