ГОЛД ВИНТЕР Циберцриме Гроуп

Истраживачи сајбер безбедности су са великим поверењем известили да је новооснована хакерска група коју су означили као ГОЛД ВИНТЕР одговорна за операције напада који укључују Хадес Рансомваре . Хад се појавио на сцени сајбер криминала у децембру 2020. и до сада је био коришћен против више мета. Раније су различите компаније Инфосец приписивале злонамерни алат различитим, различитим хакерским колективима укључујући ХАФНИУМ и ГОЛД ДРАКЕ. Заиста, ГОЛД ДРАКЕ се појавио као вероватни кривац због неколико преклапања између Хадеса и њихове сопствене претње рансомваре-а под називом ВастедЛоцкер која укључује сличне позиве програмског интерфејса, користећи криптор ЦриптОне, и постојање неколико идентичних команди у обе претње. Истраживачи Сецуреворкс-а су, међутим, пронашли довољно разликовних аспеката у вези с нападом Хада да поставе његовог оператера као посебног актера претње.

За разлику од већине оператера рансомваре-а који су помало неселективни када траже жртве, чини се да ГОЛД ВИНТЕР има строге критеријуме када бира своје мете. Група иде за малим подскупом циљева високе вредности, углавном производних организација из Северне Америке. Ово омогућава највероватнијим хакерима са седиштем у Русији да максимизирају свој профит од сваког успешног кршења.

Карактеристике ГОЛД ВИНТЕР-а

Група показује знаке предузимања намерних корака да доведе у заблуду заједницу инфосеца и отежа приписивање Хадес рансомваре-а. ГОЛД ВИНТЕР је често падао на белешке о откупу компромитованих система које су узете из других фамилија рансомвера високог профила. У неким случајевима, ХАДЕС је поставио белешке које имитирају оне које припадају породици РЕвил са именима као што су ХОВ-ТО-ДЕЦРИПТ-<ИД жртве>.ткт, док је на другим жртвама претња испустила имитацију белешке Цонти Рансомваре-а (ЦОНТАЦТ-ТО- ДЕЦРИПТ.ткт).

ЗЛАТНА ЗИМА, међутим, има неке јединствене особине које је издвајају. Група се не ослања на централизовану веб страницу која је процурила да би „именовала и посрамила“ своје жртве. Уместо тога, свака компромитована организација се усмерава на прилагођену веб локацију засновану на Тор-у са Ток ИД-ом за ћаскање специфичним за жртву за комуникацију. Укључивање услуге размјене тренутних порука Ток је нови приступ који није присутан у другим операцијама рансомваре-а. Поред тога, Хадес рансомваре није доступан за куповину на подземним хакерским форумима, што указује да се претња не нуди у РааС шеми (Рансомваре ас а Сервице) и да се уместо тога користи као приватна алатка за рансомвер.