GOLD WINTER Grupi i Krimit Kibernetik

Studiuesit e sigurisë kibernetike kanë raportuar me besim të lartë se një grup i sapokrijuar hakerash që ata e caktuan si GOLD WINTER është përgjegjës për operacionet e sulmit që përfshijnë Hades Ransomware . Hades u shfaq në skenën e krimit kibernetik në dhjetor 2020 dhe deri më tani është përdorur kundër objektivave të shumtë. Më parë firma të ndryshme infosec ia kanë atribuar mjetin keqdashës grupeve të ndryshme të hakerëve, duke përfshirë HAFNIUM dhe GOLD DRAKE. Në të vërtetë, GOLD DRAKE u shfaq si fajtori i mundshëm për shkak të disa mbivendosjeve midis Hades dhe kërcënimit të tyre ransomware të quajtur WastedLocker që përfshin thirrje të ngjashme të ndërfaqes programuese, duke përdorur kriptorin CryptOne dhe ekzistencën e disa komandave identike në të dy kërcënimet. Studiuesit e Secureworks, megjithatë, gjetën mjaft aspekte dalluese rreth sulmit të Hades për ta vendosur operatorin e tij si një aktor të veçantë kërcënimi.

Ndryshe nga shumica e operatorëve të ransomware që janë disi të padiskriminuar kur kërkojnë viktima, GOLD WINTER duket se ka kritere strikte kur zgjedh objektivat e tij. Grupi shkon pas një nëngrupi të vogël objektivash me vlerë të lartë, kryesisht organizata prodhuese nga Amerika e Veriut. Kjo u lejon hakerëve më të mundshëm me bazë në Rusi të maksimizojnë fitimet e tyre nga çdo shkelje e suksesshme.

Karakteristikat e dimrit të artë

Grupi tregon shenja të ndërmarrjes së hapave të qëllimshëm për të mashtruar komunitetin infosec dhe për ta bërë më të vështirë atribuimin e ransomware Hades. GOLD WINTER shpesh binte mbi shënimet e shpërblesës së sistemeve të komprometuara të marra nga familje të tjera të profilit të lartë ransomware. Në disa raste, HADES vendosi shënime që imitonin ato që i përkisnin familjes REvil me emra të tillë si HOW-TO-DECRYPT-.txt ndërsa për viktimat e tjera kërcënimi hoqi një imitim të shënimit të Conti Ransomware (KONTAKT-ME- DECRIPT.txt).

DIMRI I ARTË, megjithatë, ka disa tipare unike që e veçojnë atë. Grupi nuk mbështetet në një faqe interneti të centralizuar për të "emërtuar dhe turpëruar" viktimat e tij. Në vend të kësaj, çdo organizatë e komprometuar drejtohet në një faqe interneti të bazuar në Tor me një ID të bisedës Tox specifike për viktimën e ofruar për komunikime. Përfshirja e shërbimit të mesazheve të çastit Tox është një qasje e re që nuk është e pranishme në operacionet e tjera të ransomware. Për më tepër, ransomware Hades nuk është vënë në dispozicion për blerje në forumet nëntokësore të hakerëve, duke treguar se kërcënimi nuk po ofrohet në një skemë RaaS (Ransomware si shërbim) dhe në vend të kësaj operohet si një mjet privat ransomware.