GOLD WINTER Cybercrime Group

网络安全研究人员高度自信地报告说，他们指定为 GOLD WINTER 的新成立的黑客组织负责涉及Hades Ransomware的攻击行动。 Hades 于 2020 年 12 月出现在网络犯罪舞台上，迄今为止已被用于针对多个目标。以前，不同的信息安全公司将恶意工具归咎于各种不同的黑客团体，包括 HAFNIUM 和 GOLD DRAKE。事实上，GOLD DRAKE 似乎是可能的罪魁祸首，因为 Hades 和他们自己的勒索软件威胁 WastedLocker 之间存在一些重叠，其中包括类似的编程接口调用、使用 CryptOne 加密器，以及在这两种威胁中存在几个相同的命令。然而，Secureworks 的研究人员发现，Hades 攻击有足够的独特之处，可以将其运营商设置为单独的威胁参与者。

与大多数在寻找受害者时有些不加选择的勒索软件运营商不同，GOLD WINTER 在选择目标时似乎有严格的标准。该集团追求一小部分高价值目标，主要是来自北美的制造组织。这允许最有可能的俄罗斯黑客从每次成功的入侵中获得最大的利润。

GOLD WINTER的特点

该组织显示出有意采取措施误导信息安全社区并使 Hades 勒索软件的归属变得更加困难的迹象。 GOLD WINTER 经常会提到从其他知名勒索软件系列中提取的受感染系统勒索信。在某些情况下，HADES 部署的笔记模仿属于REvil家族的笔记，名称如 HOW-TO-DECRYPT-.txt，而在其他受害者身上，威胁放弃了对 Conti Ransomware 笔记的模仿 (CONTACT-TO-解密.txt）。

然而，GOLD WINTER 确实有一些使其与众不同的独特特征。该组织不依靠集中式泄密网站来"点名和羞辱"其受害者。相反，每个受感染的组织都被定向到一个定制的基于 Tor 的网站，并提供一个特定于受害者的 Tox 聊天 ID 用于通信。包含 Tox 即时消息服务是一种在其他勒索软件操作中不存在的新颖方法。此外，Hades 勒索软件尚未在地下黑客论坛上出售，这表明该威胁不是以 RaaS（勒索软件即服务）方案提供的，而是作为私人勒索软件工具运行的。