GOLD WINTER Cybercrime Group

サイバーセキュリティの研究者は、GOLD WINTERとして指定した新しく設立されたハッカーグループが、 Hadesランサムウェアを含む攻撃操作に責任があると確信を持って報告しています。 Hadesは2020年12月にサイバー犯罪の段階に登場し、これまでに複数のターゲットに対して活用されてきました。以前は、さまざまな情報セキュリティ企業が、悪意のあるツールをHAFNIUMやGOLDDRAKEなどのさまざまなハッカー集団に起因すると考えていました。実際、GOLD DRAKEは、Hadesと、CryptOneクリプトンを使用した同様のプログラミングインターフェイス呼び出しを含むWastedLockerという名前のランサムウェアの脅威との間にいくつかの重複があり、両方の脅威に同じコマンドがいくつか存在するため、原因の可能性が高いように見えました。ただし、Secureworksの研究者は、Hades攻撃について、そのオペレーターを別個の脅威アクターとして設定するのに十分な特徴的な側面を発見しました。

被害者を探すときに多少無差別であるほとんどのランサムウェアオペレーターとは異なり、GOLDWINTERはターゲットを選択する際に厳しい基準を持っているように見えます。このグループは、主に北米の製造組織など、価値の高いターゲットの小さなサブセットを追跡しています。これにより、ロシアを拠点とするハッカーは、違反が成功するたびに利益を最大化できます。

ゴールドウィンターの特徴

このグループは、infosecコミュニティを誤解させ、Hadesランサムウェアの帰属をより困難にするために意図的な措置を講じる兆候を示しています。 GOLD WINTERは、他の有名なランサムウェアファミリから取得した、侵害されたシステムの身代金メモを頻繁にドロップしました。場合によっては、HADESは、HOW-TO-DECRYPT- .txtなどの名前でREvilファミリーに属するものを模倣したメモを展開しましたが、他の被害者では、脅威がConti Ransomwareのメモ（CONTACT-TO- DECRYPT.txt）。

しかし、ゴールドウィンターには、それを際立たせるいくつかのユニークな特徴があります。このグループは、被害者に「名前を付けて恥をかかせる」ために、一元化されたリークWebサイトに依存していません。代わりに、侵害された各組織は、通信用に提供された被害者固有のToxチャットIDを備えたカスタムメイドのTorベースのWebサイトに誘導されます。 Toxインスタントメッセージングサービスを含めることは、他のランサムウェア操作には存在しない新しいアプローチです。さらに、Hadesランサムウェアは、地下のハッカーフォーラムで購入できるようになっておらず、脅威がRaaS（Ransomware as a Service）スキームで提供されておらず、代わりにプライベートランサムウェアツールとして運用されていることを示しています。