Licenser för flera enheter (volymrabatter)
Threat Database Advanced Persistent Threat (APT) GOLD WINTER Cybercrime Group

GOLD WINTER Cybercrime Group

Med Mezo år Advanced Persistent Threat (APT)
Översätt till:
Svenska

Cybersäkerhetsforskare har med stort förtroende rapporterat att en nyetablerad hackargrupp som de utsåg till GOLD WINTER är ansvarig för attackoperationerna som involverar Hades Ransomware . Hades dök upp på cyberbrottsscenen i december 2020 och har hittills utnyttjats mot flera mål. Tidigare har olika infosec-företag tillskrivit det skadliga verktyget till olika, olika hackerkollektiv inklusive HAFNIUM och GOLD DRAKE. GOLD DRAKE verkade faktiskt som den troliga skyldige på grund av flera överlappningar mellan Hades och deras eget ransomware-hot med namnet WastedLocker som inkluderar liknande programmeringsgränssnittssamtal med CryptOne-kryptorn och förekomsten av flera identiska kommandon i båda hoten. Secureworks forskare fann emellertid tillräckligt med särskiljande aspekter av Hades-attacken för att ställa sin operatör som en separat hotaktör.

Till skillnad från de flesta ransomware-operatörer som är lite urskillningslösa när de letar efter offer, verkar GOLD WINTER ha strikta kriterier när de väljer sina mål. Gruppen följer en liten delmängd av högvärdiga mål, främst tillverkningsorganisationer från Nordamerika. Detta gör det möjligt för de mest troliga ryssbaserade hackarna att maximera sina vinster från varje framgångsrikt intrång.

GULDVINTERS egenskaper

Gruppen visar tecken på att medvetet vidta åtgärder för att vilseleda infosec-gemenskapen och försvåra tillskrivningen av Hades-ransomware. GULDVINTER tappade ofta på de komprometterade system lösenord anteckningar från andra högprofilerade ransomware familjer. I vissa fall distribuerade HADES anteckningar som imiterade dem som tillhör REvil- familjen med namn som HUR-TILL-DECRYPT- .txt medan andra offer hotade en imitation av Conti Ransomware-anteckningen (CONTACT-TO- DECRYPT.txt).

GULDVINTER har dock några unika egenskaper som skiljer den ut. Gruppen förlitar sig inte på en central läcka-webbplats för att "namnge och skämma" dess offer. Istället riktas varje komprometterad organisation till en skräddarsydd Tor-baserad webbplats med ett offerspecifikt Tox-chatt-ID som tillhandahålls för kommunikation. Inkluderingen av Tox-snabbmeddelandetjänsten är en ny metod som inte finns i andra ransomware-operationer. Dessutom har Hades ransomware inte gjorts tillgängligt för köp på underjordiska hackforum, vilket tyder på att hotet inte erbjuds i ett RaaS (Ransomware as a Service) -schema utan istället drivs som ett privat ransomware-verktyg.

Trendigt

Mest sedda

Läser in...