GOLD WINTER Cybercrime Group

Cybersicherheitsforscher haben mit großer Zuversicht berichtet, dass eine neu gegründete Hackergruppe, die sie als GOLD WINTER bezeichnet haben, für die Angriffsoperationen mit der Hades Ransomware verantwortlich ist. Hades erschien im Dezember 2020 auf der Bühne der Cyberkriminalität und wurde bisher gegen mehrere Ziele eingesetzt. Zuvor haben verschiedene Infosec-Firmen das bösartige Tool verschiedenen Hacker-Kollektiven zugeschrieben, darunter HAFNIUM und GOLD DRAKE. Tatsächlich erschien GOLD DRAKE als wahrscheinlicher Schuldiger aufgrund mehrerer Überschneidungen zwischen Hades und ihrer eigenen Ransomware-Bedrohung namens WastedLocker, die ähnliche Aufrufe der Programmierschnittstelle unter Verwendung des CryptOne-Kryptors und die Existenz mehrerer identischer Befehle in beiden Bedrohungen umfassen. Die Forscher von Secureworks fanden jedoch genügend Unterscheidungsmerkmale des Hades-Angriffs, um seinen Betreiber als separaten Bedrohungsakteur zu bezeichnen.

Im Gegensatz zu den meisten Ransomware-Betreibern, die bei der Suche nach Opfern etwas wahllos vorgehen, scheint GOLD WINTER bei der Auswahl seiner Ziele strenge Kriterien zu haben. Die Gruppe verfolgt eine kleine Untergruppe hochwertiger Ziele, hauptsächlich Fertigungsunternehmen aus Nordamerika. Dies ermöglicht es den wahrscheinlichsten in Russland ansässigen Hackern, ihre Gewinne aus jeder erfolgreichen Verletzung zu maximieren.

Eigenschaften von GOLD WINTER

Die Gruppe zeigt Anzeichen dafür, dass bewusste Schritte unternommen werden, um die Infosec-Community in die Irre zu führen und die Zuordnung der Hades-Ransomware zu erschweren. GOLD WINTER hat oft Lösegeldforderungen von anderen hochkarätigen Ransomware-Familien auf die kompromittierten Systeme geworfen. In einigen Fällen setzte HADES Notizen ein, die die der REvil- Familie mit Namen wie HOW-TO-DECRYPT-.txt imitierten, während bei anderen Opfern die Bedrohung eine Nachahmung der Notiz der Conti Ransomware (CONTACT-TO- DECRYPT.txt) präsentiert.

GOLD WINTER hat jedoch einige einzigartige Eigenschaften, die es auszeichnen. Die Gruppe verlässt sich nicht auf eine zentralisierte Leak-Website, um ihre Opfer zu benennen und zu beschämen. Stattdessen wird jede kompromittierte Organisation auf eine maßgeschneiderte Tor-basierte Website mit einer opferspezifischen Tox-Chat-ID geleitet, die für die Kommunikation bereitgestellt wird. Die Einbeziehung des Instant Messaging-Dienstes Tox ist ein neuartiger Ansatz, der bei anderen Ransomware-Operationen nicht vorhanden ist. Darüber hinaus wurde Hades-Ransomware nicht in unterirdischen Hackerforen zum Kauf angeboten, was darauf hindeutet, dass die Bedrohung nicht im RaaS-Programm (Ransomware as a Service) angeboten wird, sondern als privates Ransomware-Tool betrieben wird.