GOLD WINTER Groupe Cybercriminalité

Les chercheurs en cybersécurité ont signalé avec une grande confiance qu'un groupe de pirates informatiques nouvellement créé qu'ils ont désigné sous le nom de GOLD WINTER est responsable des opérations d'attaque impliquant le Hades Ransomware. Hadès est apparu sur la scène de la cybercriminalité en décembre 2020 et a jusqu'à présent été utilisé contre plusieurs cibles. Auparavant, différentes entreprises d'infosec ont attribué l'outil malveillant à divers collectifs de pirates, notamment HAFNIUM et GOLD DRAKE. En effet, GOLD DRAKE est apparu comme le coupable probable en raison de plusieurs chevauchements entre Hades et leur propre menace de ransomware nommée WastedLocker qui incluent des appels d'interface de programmation similaires, utilisant le cryptographe CryptOne, et l'existence de plusieurs commandes identiques dans les deux menaces. Les chercheurs de Secureworks, cependant, ont trouvé suffisamment d'aspects distinctifs de l'attaque Hades pour définir son opérateur comme un acteur de menace distinct.

Contrairement à la plupart des opérateurs de ransomwares qui recherchent des victimes sans discernement, GOLD WINTER semble avoir des critères stricts pour choisir ses cibles. Le groupe s'attaque à un petit sous-ensemble de cibles de grande valeur, principalement des entreprises de fabrication d'Amérique du Nord. Cela permet aux pirates informatiques les plus probables basés en Russie de maximiser leurs profits de chaque violation réussie.

Caractéristiques de GOLD WINTER

Le groupe montre des signes de prise de mesures délibérées pour induire en erreur la communauté infosec et rendre l'attribution du ransomware Hades plus difficile. GOLD WINTER a souvent abandonné les notes de rançon des systèmes compromis provenant d'autres familles de ransomwares de premier plan. Dans certains cas, HADES a déployé des notes imitant celles appartenant à la famille REvil avec des noms tels que HOW-TO-DECRYPT-.txt tandis que sur d'autres victimes, la menace a laissé tomber une imitation de la note de Conti Ransomware (CONTACT-TO- DÉCRYPTER.txt).

GOLD WINTER, cependant, a des caractéristiques uniques qui le distinguent. Le groupe ne s'appuie pas sur un site Web de fuite centralisé pour «nommer et faire honte» à ses victimes. Au lieu de cela, chaque organisation compromise est dirigée vers un site Web personnalisé basé sur Tor avec un ID de chat Tox spécifique à la victime fourni pour les communications. L'inclusion du service de messagerie instantanée Tox est une nouvelle approche qui n'est pas présente dans d'autres opérations de ransomware. De plus, le ransomware Hades n'a pas été mis à disposition à l'achat sur les forums de hackers clandestins, ce qui indique que la menace n'est pas proposée dans un schéma RaaS (Ransomware as a Service) et est plutôt exploitée comme un outil de ransomware privé.