Golden Chickens Criminal Group

Los investigadores de ciberseguridad han informado con gran confianza que un grupo de piratas informáticos recién establecido que designaron como GOLD WINTER es responsable de las operaciones de ataque que involucran al Hades Ransomware. Hades apareció en la etapa del ciberdelito en diciembre de 2020 y hasta ahora se ha aprovechado contra múltiples objetivos. Anteriormente, diferentes firmas de seguridad han atribuido la herramienta maliciosa a varios colectivos de piratas informáticos diferentes, incluidos HAFNIUM y GOLD DRAKE. De hecho, GOLD DRAKE apareció como el posible culpable debido a varias superposiciones entre Hades y su propia amenaza de ransomware llamada WastedLocker que incluyen llamadas de interfaz de programación similares, utilizando el cifrador CryptOne, y la existencia de varios comandos idénticos en ambas amenazas. Los investigadores de Secureworks, sin embargo, encontraron suficientes aspectos distintivos sobre el ataque de Hades para establecer a su operador como un actor de amenaza independiente.

A diferencia de la mayoría de los operadores de ransomware que son algo indiscriminados cuando buscan víctimas, GOLD WINTER parece tener criterios estrictos a la hora de elegir sus objetivos. El grupo persigue un pequeño subconjunto de objetivos de alto valor, principalmente organizaciones de fabricación de América del Norte. Esto permite a los piratas informáticos más probables con sede en Rusia maximizar sus ganancias de cada infracción exitosa.

Características de GOLD WINTER

El grupo muestra signos de tomar medidas deliberadas para engañar a la comunidad de seguridad de información y dificultar la atribución del ransomware Hades. GOLD WINTER solía caer en las notas de rescate de los sistemas comprometidos tomadas de otras familias de ransomware de alto perfil. En algunos casos, HADES desplegó notas que imitaban a las pertenecientes a la familia REvil con nombres como HOW-TO-DECRYPT- .txt, mientras que en otras víctimas la amenaza arrojó una imitación de la nota de Conti Ransomware (CONTACT-TO- DECRYPT.txt).

GOLD WINTER, sin embargo, tiene algunos rasgos únicos que lo distinguen. El grupo no confía en un sitio web de filtraciones centralizado para 'nombrar y avergonzar' a sus víctimas. En cambio, cada organización comprometida se dirige a un sitio web personalizado basado en Tor con un ID de chat Tox específico de la víctima proporcionado para las comunicaciones. La inclusión del servicio de mensajería instantánea Tox es un enfoque novedoso que no está presente en otras operaciones de ransomware. Además, el ransomware Hades no está disponible para su compra en foros de piratas informáticos clandestinos, lo que indica que la amenaza no se ofrece en un esquema RaaS (Ransomware as a Service) y, en cambio, se opera como una herramienta de ransomware privada.