GOLD WINTER Cybercrime Group
Ang mga mananaliksik sa cybersecurity ay nag-ulat nang may mataas na kumpiyansa na ang isang bagong tatag na grupo ng hacker na itinalaga nila bilang GOLD WINTER ay may pananagutan para sa mga operasyon ng pag-atake na kinasasangkutan ng Hades Ransomware . Lumitaw si Hades sa yugto ng cybercrime noong Disyembre 2020 at sa ngayon ay nagamit na laban sa maraming target. Ang mga dating kumpanya ng infosec ay iniugnay ang nakakahamak na tool sa iba't ibang, iba't ibang mga hacker collective kabilang ang HAFNIUM at GOLD DRAKE. Sa katunayan, lumitaw ang GOLD DRAKE bilang malamang na salarin dahil sa ilang mga overlap sa pagitan ng Hades at ng sarili nilang banta sa ransomware na pinangalanang WastedLocker na kinabibilangan ng mga katulad na tawag sa interface ng programming, gamit ang CryptOne cryptor, at pagkakaroon ng ilang magkakaparehong command sa parehong pagbabanta. Ang mga mananaliksik ng Secureworks, gayunpaman, ay nakakita ng sapat na natatanging aspeto tungkol sa pag-atake ng Hades upang itakda ang operator nito bilang isang hiwalay na aktor ng pagbabanta.
Hindi tulad ng karamihan sa mga operator ng ransomware na medyo walang pinipili kapag naghahanap ng mga biktima, mukhang may mahigpit na pamantayan ang GOLD WINTER kapag pumipili ng mga target nito. Hinahabol ng grupo ang isang maliit na subset ng mga target na may mataas na halaga, pangunahin ang mga organisasyon sa pagmamanupaktura mula sa North America. Nagbibigay-daan ito sa pinakamalamang na mga hacker na nakabase sa Russia na i-maximize ang kanilang mga kita mula sa bawat matagumpay na paglabag.
Mga Katangian ng GOLD WINTER
Ang grupo ay nagpapakita ng mga palatandaan ng pagsasagawa ng mga sadyang hakbang upang linlangin ang komunidad ng infosec at gawing mas mahirap ang pagpapatungkol sa Hades ransomware. Ang GOLD WINTER ay madalas na nahuhulog sa mga nakompromisong sistema ng ransom notes na kinuha mula sa iba pang mga high-profile na pamilya ng ransomware. Sa ilang mga pagkakataon, ang HADES ay nag-deploy ng mga tala na ginagaya ang mga kabilang sa pamilya REvil na may mga pangalan tulad ng HOW-TO-DECRYPT-
Ang GOLD WINTER, gayunpaman, ay may ilang kakaibang katangian na nagpapahiwalay dito. Ang grupo ay hindi umaasa sa isang sentralisadong leak website na 'pangalanan at kahihiyan' ang mga biktima nito. Sa halip, ang bawat nakompromisong organisasyon ay nakadirekta sa isang custom-made Tor-based na website na may Tox chat ID na partikular sa biktima na ibinigay para sa mga komunikasyon. Ang pagsasama ng Tox instant messaging service ay isang bagong diskarte na wala sa ibang mga operasyon ng ransomware. Bilang karagdagan, ang Hades ransomware ay hindi ginawang magagamit para sa pagbili sa mga underground hacker forum, na nagpapahiwatig na ang banta ay hindi inaalok sa isang RaaS (Ransomware bilang isang Serbisyo) na pamamaraan at sa halip ay pinapatakbo bilang isang pribadong ransomware tool.
