Nhóm tội phạm mạng MÙA ĐÔNG VÀNG

Các nhà nghiên cứu an ninh mạng đã báo cáo với sự tin tưởng cao rằng một nhóm hacker mới thành lập mà họ chỉ định là GOLD WINTER chịu trách nhiệm cho các hoạt động tấn công liên quan đến Hades Ransomware . Hades xuất hiện trong giai đoạn tội phạm mạng vào tháng 12 năm 2020 và cho đến nay đã được sử dụng để chống lại nhiều mục tiêu. Các công ty infosec khác nhau trước đây đã quy công cụ độc hại này cho nhiều nhóm hacker khác nhau bao gồm HAFNIUM và GOLD DRAKE. Thật vậy, GOLD DRAKE xuất hiện như một thủ phạm có khả năng là do một số điểm trùng lặp giữa Hades và mối đe dọa ransomware của riêng họ có tên là WastedLocker bao gồm các lệnh gọi giao diện lập trình tương tự, sử dụng mật mã CryptOne và sự tồn tại của một số lệnh giống nhau trong cả hai mối đe dọa. Tuy nhiên, các nhà nghiên cứu của Secureworks đã tìm thấy đủ các khía cạnh khác biệt về cuộc tấn công Hades để đặt người điều hành nó thành một tác nhân đe dọa riêng biệt.

Không giống như hầu hết các nhà khai thác ransomware có phần hơi bừa bãi khi tìm kiếm nạn nhân, GOLD WINTER dường như có những tiêu chí nghiêm ngặt khi lựa chọn mục tiêu của nó. Tập đoàn này theo đuổi một nhóm nhỏ các mục tiêu có giá trị cao, chủ yếu là các tổ chức sản xuất từ Bắc Mỹ. Điều này cho phép các tin tặc có trụ sở tại Nga tối đa hóa lợi nhuận của họ từ mỗi lần vi phạm thành công.

Đặc điểm của MÙA ĐÔNG VÀNG

Nhóm này có dấu hiệu thực hiện các bước có chủ ý nhằm đánh lừa cộng đồng infosec và khiến việc ghi nhận phần mềm tống tiền của Hades trở nên khó khăn hơn. GOLD WINTER thường bỏ qua các hệ thống bị xâm nhập ghi chú tiền chuộc được lấy từ các dòng ransomware cao cấp khác. Trong một số trường hợp, HADES đã triển khai các ghi chú bắt chước các ghi chú thuộc họ REvil với các tên như CÁCH-TO-DECRYPT- .txt trong khi đối với các nạn nhân khác, mối đe dọa đã bỏ một bản giả ghi chú của Conti Ransomware (LIÊN HỆ-TO- DECRYPT.txt).

GOLD WINTER, tuy nhiên, có một số đặc điểm độc đáo tạo nên sự khác biệt. Nhóm không dựa vào một trang web rò rỉ tập trung để 'nêu tên và làm xấu hổ' các nạn nhân của mình. Thay vào đó, mỗi tổ chức bị xâm nhập được chuyển hướng đến một trang web dựa trên Tor tùy chỉnh với ID trò chuyện Tox dành riêng cho nạn nhân được cung cấp để liên lạc. Việc bao gồm dịch vụ nhắn tin tức thời Tox là một cách tiếp cận mới không có trong các hoạt động ransomware khác. Ngoài ra, ransomware Hades không có sẵn để mua trên các diễn đàn hacker ngầm, cho thấy rằng mối đe dọa không được cung cấp trong một kế hoạch RaaS (Ransomware dưới dạng dịch vụ) và thay vào đó được vận hành như một công cụ ransomware riêng.