GOLD WINTER Cybercrime Group

Siber güvenlik araştırmacıları, Hades Ransomware'i içeren saldırı operasyonlarından ALTIN KIŞ olarak belirledikleri yeni kurulmuş bir hacker grubunun sorumlu olduğunu büyük bir güvenle bildirdiler. Hades, Aralık 2020'de siber suç sahnesine çıktı ve şimdiye kadar birden fazla hedefe karşı kullanıldı. Daha önce farklı infosec firmaları, kötü niyetli aracı HAFNIUM ve GOLD DRAKE dahil olmak üzere çeşitli, farklı hacker kolektiflerine bağladı. Gerçekten de, GOLD DRAKE, Hades ile CryptOne şifreleyicisini kullanan benzer programlama arabirimi çağrılarını içeren WastedLocker adlı kendi fidye yazılımı tehdidi arasındaki birkaç çakışma ve her iki tehditte de birkaç özdeş komutun varlığı nedeniyle olası suçlu olarak göründü. Ancak Secureworks araştırmacıları, operatörünü ayrı bir tehdit aktörü olarak ayarlamak için Hades saldırısı hakkında yeterince ayırt edici yön buldu.

Kurban ararken ayrım gözetmeyen çoğu fidye yazılımı operatörünün aksine, GOLD WINTER hedeflerini seçerken katı kriterlere sahip görünüyor. Grup, çoğunlukla Kuzey Amerika'dan üretim yapan kuruluşlar olmak üzere, yüksek değerli hedeflerin küçük bir alt kümesinin peşinden gidiyor. Bu, en olası Rus tabanlı bilgisayar korsanlarının her başarılı ihlalden elde ettikleri karları en üst düzeye çıkarmasına olanak tanır.

GOLD KIŞ'IN ÖZELLİKLERİ

Grup, bilgi güvenliği topluluğunu yanlış yönlendirmek ve Hades fidye yazılımına atıfta bulunmayı zorlaştırmak için kasıtlı adımlar attığına dair işaretler gösteriyor. GOLD WINTER, diğer yüksek profilli fidye yazılımı ailelerinden alınan fidye notlarını genellikle güvenliği ihlal edilmiş sistemlere bırakır. Bazı durumlarda, HADES, REvil ailesine ait olanları taklit eden, NASIL DECRYPT-.txt gibi isimlerle notlar yerleştirirken, diğer kurbanlara tehdit, Conti Ransomware'in notunun bir taklidi (İLETİŞİM-TO-) DECRYPT.txt).

Ancak GOLD WINTER, onu diğerlerinden ayıran bazı benzersiz özelliklere sahiptir. Grup, kurbanlarını 'adlandırmak ve utandırmak' için merkezi bir sızıntı web sitesine güvenmiyor. Bunun yerine, güvenliği ihlal edilen her kuruluş, iletişim için sağlanan kurbana özel Tox sohbet kimliğine sahip özel yapım Tor tabanlı bir web sitesine yönlendirilir. Tox anlık mesajlaşma hizmetinin dahil edilmesi, diğer fidye yazılımı işlemlerinde bulunmayan yeni bir yaklaşımdır. Buna ek olarak, Hades fidye yazılımı, yeraltı korsan forumlarında satın alınmak üzere hazır hale getirilmemiştir; bu, tehdidin bir RaaS (Hizmet olarak Fidye Yazılımı) şemasında sunulmadığını ve bunun yerine özel bir fidye yazılımı aracı olarak işletildiğini gösterir.