Група кіберзлочинів GOLD WINTER

Дослідники кібербезпеки з високою впевненістю повідомили, що нещодавно створена група хакерів, яку вони позначили як GOLD WINTER, відповідає за операції з атаки, пов’язані з програмним забезпеченням Hades Ransomware . Аїд з’явився на сцені кіберзлочинності в грудні 2020 року і до цих пір був використаний проти кількох цілей. Раніше різні компанії Infosec приписували шкідливий інструмент різним групам хакерів, включаючи HAFNIUM і GOLD DRAKE. Справді, GOLD DRAKE виявився ймовірним винуватцем через кілька збігів між Hades і їх власною загрозою-вимагачем під назвою WastedLocker, яка включає подібні виклики програмного інтерфейсу, використовуючи криптор CryptOne, і існування кількох ідентичних команд в обох загрозах. Однак дослідники Secureworks виявили достатньо відмінних аспектів атаки Аїду, щоб виділити її оператора як окремого суб’єкта загрози.

На відміну від більшості операторів програм-вимагачів, які дещо невибірково шукають жертв, GOLD WINTER, схоже, має суворі критерії при виборі цілей. Група переслідує невелику групу цінних цілей, в основному виробничі організації з Північної Америки. Це дозволяє найбільш ймовірним російським хакерам максимізувати свій прибуток від кожного успішного злому.

Характеристики GOLD WINTER

Група демонструє ознаки вжиття свідомих кроків, щоб ввести в оману спільноту Infosec та ускладнити атрибуцію програм-вимагачів Hades. GOLD WINTER часто звертався до скомпрометованих системних записок про викуп, отриманих від інших популярних сімей програм-вимагачів. У деяких випадках HADES розгорнув нотатки, що імітують нотатки сімейства REvil, з такими іменами, як HOW-TO-DECRYPT-.txt, тоді як на інших жертвах загроза скинула імітацію нотатки Conti Ransomware (CONTACT-TO- DECRYPT.txt).

GOLD WINTER, однак, має деякі унікальні риси, які виділяють її. Група не покладається на централізований веб-сайт із витоком, щоб «називати і ганьбити» своїх жертв. Натомість кожна скомпрометована організація спрямовується на спеціально виготовлений веб-сайт на основі Tor із ідентифікатором чату Tox для жертви, наданим для спілкування. Включення служби обміну миттєвими повідомленнями Tox – це новий підхід, якого немає в інших операціях з програмним забезпеченням-вимагачем. Крім того, програмне забезпечення Hades не було доступне для покупки на підпільних форумах хакерів, що вказує на те, що загроза не пропонується за схемою RaaS (Програми-вимагачі як послуга), а натомість використовується як приватний інструмент-вимагач.