GOLD WINTER Cybercrime Group

網絡安全研究人員高度自信地報告說，他們指定為 GOLD WINTER 的新成立的黑客組織負責涉及Hades Ransomware的攻擊行動。 Hades 於 2020 年 12 月出現在網絡犯罪舞台上，迄今為止已被用於針對多個目標。以前，不同的信息安全公司將惡意工具歸咎於各種不同的黑客團體，包括 HAFNIUM 和 GOLD DRAKE。事實上，GOLD DRAKE 似乎是可能的罪魁禍首，因為 Hades 和他們自己的勒索軟件威脅 WastedLocker 之間存在一些重疊，其中包括類似的編程接口調用、使用 CryptOne 加密器，以及在這兩種威脅中存在幾個相同的命令。然而，Secureworks 的研究人員發現，Hades 攻擊有足夠的獨特之處，可以將其運營商設置為單獨的威脅參與者。

與大多數在尋找受害者時有些不加選擇的勒索軟件運營商不同，GOLD WINTER 在選擇目標時似乎有嚴格的標準。該集團追求一小部分高價值目標，主要是來自北美的製造組織。這允許最有可能的俄羅斯黑客從每次成功的入侵中獲得最大的利潤。

GOLD WINTER的特點

該組織顯示出有意採取措施誤導信息安全社區並使 Hades 勒索軟件的歸屬變得更加困難的跡象。 GOLD WINTER 經常會提到從其他知名勒索軟件系列中提取的受感染系統勒索信。在某些情況下，HADES 部署的筆記模仿屬於REvil家族的筆記，名稱如 HOW-TO-DECRYPT-.txt，而在其他受害者身上，威脅放棄了對 Conti Ransomware 筆記的模仿 (CONTACT-TO-解密.txt）。

然而，GOLD WINTER 確實有一些使其與眾不同的獨特特徵。該組織不依靠集中式洩密網站來"點名和羞辱"其受害者。相反，每個受感染的組織都被定向到一個定制的基於 Tor 的網站，並提供一個特定於受害者的 Tox 聊天 ID 用於通信。包含 Tox 即時消息服務是一種在其他勒索軟件操作中不存在的新穎方法。此外，Hades 勒索軟件尚未在地下黑客論壇上出售，這表明該威脅不是以 RaaS（勒索軟件即服務）方案提供的，而是作為私人勒索軟件工具運行的。