Neue Bedrohungsschauspieler BlackMatter und Haron heben ihre Köpfe
Die infosec-Community entdeckte im Angesicht von BlackMatter und Haron zwei neue Namen in der Bedrohungslandschaft. Beide Gruppen weisen Merkmale auf, die sie zwei großen Ransomware-Bedrohungsakteuren sehr ähnlich sehen lassen, die angeblich erst vor kurzem dunkel geworden sind.
Ob BlackMatter und Haron einfach Rebrandings der Ransomware-Gangs REvil und DarkSide sind, ist derzeit nicht ganz klar, aber Forscher weisen auf einige Ähnlichkeiten zwischen ihnen hin. Beide neuen Bedrohungsakteure behaupten, ihre Bemühungen auf riesige Ziele zu konzentrieren, die in der Lage sind, Millionen von Dollar an Lösegeld zu zahlen, und versuchen, das Robin-Hood-Outfit anzuziehen und behaupten, niemals Bildungsorganisationen, das Gesundheitswesen und kritische Infrastruktureinrichtungen anzugreifen – etwas, das DarkSide war berühmt.
Seltsamerweise hat BlackMatter, wie Threatpost berichtete, auch kostenlose Entschlüsselungstools versprochen, wenn einer der Mitglieder der Gang der falschen Organisation auf die Zehen tritt und einen Stunt ähnlich dem Angriff auf die Colonial Pipeline durchführt, der die Treibstofflieferungen an der US-Ostküste Anfang dieses Jahres lahmlegte, als a DarkSide-Partner, die das Ransomware-as-a-Service-Modell der Gruppe verwenden, haben die Colonial Pipeline gehackt.
Harons Malware wurde im Juli 2021 von südkoreanischen Sicherheitsforschern analysiert und sie entdeckten viele merkwürdige Ähnlichkeiten zwischen dem von Haron verwendeten Tool und der älteren Ransomware der Avaddon-Gruppe. Avaddon ist auch einer der Bedrohungsakteure, die nach den massiven Umwälzungen der rechtlichen Schritte nach dem Angriff auf die Colonial Pipeline die Flucht ergriffen haben. Die Gruppe veröffentlichte fast 3.000 Ransomware-Entschlüsselungsschlüssel, bevor sie verstummte.
Die Lösegeldforderungen der Ransomware Avaddon und Haron sind ebenfalls auffallend ähnlich, mit großen Textblöcken, die völlig identisch sind.
Wenn es um BlackMatter geht, behaupten Forscher, sie hätten Grund zu der Annahme, dass es sich tatsächlich um eine Reinkarnation der DarkSide-Ransomware-Gruppe handelt.
Es gibt derzeit keinen universellen Konsens oder harte Beweise dafür, dass die beiden neuen Namen tatsächlich die alten bekannten Gesichter sind, nur umbenannt und unter einem dünnen neuen Anstrich umbenannt. Ob es sich dabei wirklich um dieselben Personen handelt, die dieselben oder leicht modifizierte Tools und Techniken verwenden oder völlig neue Bedrohungsakteure, kann nur die Zeit zeigen. Leider ist keine der Aussichten besonders ermutigend.
