GOLD WINTER กลุ่มอาชญากรไซเบอร์

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้รายงานด้วยความมั่นใจอย่างสูงว่ากลุ่มแฮ็กเกอร์ที่จัดตั้งขึ้นใหม่ซึ่งพวกเขากำหนดให้เป็น GOLD WINTER มีหน้าที่รับผิดชอบในการโจมตีที่เกี่ยวข้องกับ Hades Ransomware Hades ปรากฏตัวบนเวทีอาชญากรรมไซเบอร์ในเดือนธันวาคม 2020 และจนถึงขณะนี้ ได้ถูกโจมตีโดยมีเป้าหมายหลายเป้าหมาย ก่อนหน้านี้ บริษัท infosec ที่แตกต่างกันได้ระบุว่าเครื่องมือที่เป็นอันตรายนี้มาจากกลุ่มแฮ็กเกอร์ต่างๆ รวมถึง HAFNIUM และ GOLD DRAKE อันที่จริง GOLD DRAKE ดูเหมือนจะเป็นผู้ร้ายเนื่องจากมีการทับซ้อนกันหลายอย่างระหว่าง Hades และภัยคุกคามแรนซัมแวร์ของพวกเขาเองที่ชื่อ WastedLocker ซึ่งมีการเรียกอินเทอร์เฟซการเขียนโปรแกรมที่คล้ายกันโดยใช้ CryptOne cryptor และการมีอยู่ของคำสั่งที่เหมือนกันหลายคำสั่งในภัยคุกคามทั้งสอง อย่างไรก็ตาม นักวิจัยของ Secureworks พบว่ามีแง่มุมที่แตกต่างมากพอเกี่ยวกับการโจมตีของ Hades เพื่อกำหนดให้ผู้ปฏิบัติงานเป็นภัยคุกคามที่แยกจากกัน

GOLD WINTER นั้นแตกต่างจากผู้ให้บริการ ransomware ส่วนใหญ่ที่ไม่ค่อยเลือกปฏิบัติเมื่อมองหาเหยื่อ GOLD WINTER ดูเหมือนจะมีเกณฑ์ที่เข้มงวดในการเลือกเป้าหมาย กลุ่มนี้ดำเนินการตามกลุ่มย่อยเล็กๆ ของเป้าหมายที่มีมูลค่าสูง ซึ่งส่วนใหญ่เป็นองค์กรการผลิตจากอเมริกาเหนือ ซึ่งจะช่วยให้แฮ็กเกอร์ชาวรัสเซียที่มีแนวโน้มมากที่สุดเพื่อเพิ่มผลกำไรสูงสุดจากการละเมิดที่ประสบความสำเร็จแต่ละครั้ง

คุณสมบัติของ GOLD WINTER

กลุ่มแสดงสัญญาณของการทำตามขั้นตอนโดยเจตนาเพื่อหลอกลวงชุมชน infosec และทำให้การระบุแหล่งที่มาของ Hades ransomware ยากขึ้น GOLD WINTER มักจะทิ้งบันทึกค่าไถ่ของระบบที่ถูกบุกรุกซึ่งนำมาจากตระกูล ransomware ที่มีชื่อเสียงอื่น ๆ ในบางกรณี HADES ได้ใช้บันทึกที่เลียนแบบของ ตระกูล REvil ที่ มีชื่อเช่น HOW-TO-DECRYPT-.txt ในขณะที่เหยื่อรายอื่นๆ ภัยคุกคามได้ทิ้งข้อความเลียนแบบของ Conti Ransomware (CONTACT-TO- DECRYPT.txt)

อย่างไรก็ตาม GOLD WINTER มีลักษณะเฉพาะบางอย่างที่ทำให้แตกต่างออกไป กลุ่มนี้ไม่ได้พึ่งพาเว็บไซต์รั่วไหลแบบรวมศูนย์เพื่อ 'ตั้งชื่อและทำให้อับอาย' แก่เหยื่อ แต่องค์กรที่ถูกบุกรุกแต่ละแห่งจะถูกส่งตรงไปยังเว็บไซต์ Tor-based ที่สร้างขึ้นเองด้วยรหัสแชท Tox เฉพาะเหยื่อที่ให้ไว้สำหรับการสื่อสาร การรวมบริการส่งข้อความโต้ตอบแบบทันทีของ Tox เป็นแนวทางใหม่ที่ไม่มีอยู่ในการดำเนินการของแรนซัมแวร์อื่นๆ นอกจากนี้ Hades ransomware ยังไม่เปิดให้ซื้อบนฟอรั่มของแฮ็กเกอร์ใต้ดิน ซึ่งบ่งชี้ว่าไม่มีการเสนอภัยคุกคามในรูปแบบ RaaS (Ransomware as a Service) และทำงานเป็นเครื่องมือเรียกค่าไถ่ส่วนตัวแทน