Νέοι ηθοποιοί BlackMatter και Haron πίσω από το κεφάλι τους

Η κοινότητα της infosec εντόπισε δύο νέα ονόματα στο τοπίο απειλών, απέναντι στους BlackMatter και Haron. Και οι δύο ομάδες εμφανίζουν χαρακτηριστικά που τα κάνουν να μοιάζουν πολύ με δύο μεγάλους ηθοποιούς απειλών ransomware που υποτίθεται ότι πήγαν σκοτεινά μόλις πρόσφατα.

Το αν το BlackMatter και το Haron είναι απλά επωνυμίες των συμμοριών REVIL και DarkSide δεν είναι πολύ σαφές αυτή τη στιγμή, αλλά οι ερευνητές επισημαίνουν κάποιες ομοιότητες μεταξύ τους. Και οι δύο νέοι παράγοντες απειλής ισχυρίζονται ότι επικεντρώνουν τις προσπάθειές τους σε τεράστιους στόχους που είναι σε θέση να πληρώσουν εκατομμύρια δολάρια σε λύτρα και προσπαθούν να φορέσουν τη στολή Robin Hood, ισχυριζόμενοι ότι δεν θα επιτεθούν ποτέ σε εκπαιδευτικούς οργανισμούς, υγειονομική περίθαλψη και κρίσιμα ιδρύματα υποδομής - κάτι που Το DarkSide ήταν διάσημο για.

Περιέργως, όπως ανέφερε η Threatpost, η BlackMatter υποσχέθηκε επίσης δωρεάν εργαλεία αποκρυπτογράφησης εάν ένας από τους συνεργάτες της συμμορίας πατήσει τα δάχτυλα του λανθασμένου οργανισμού και τραβήξει ένα κόλπο παρόμοιο με την επίθεση στο Colonial Pipeline που έλυσε τις παραδόσεις καυσίμων στην Ανατολική Ακτή των ΗΠΑ νωρίτερα αυτό το έτος, όταν Η θυγατρική της DarkSide που χρησιμοποιεί το μοντέλο ransomware-as-a-service του γκρουπ εισέβαλε το Colonial Pipeline.

Το κακόβουλο λογισμικό του Haron αναλύθηκε από ερευνητές ασφαλείας της Νότιας Κορέας τον Ιούλιο του 2021 και ανακάλυψαν πολλές περίεργες ομοιότητες μεταξύ του εργαλείου που χρησιμοποιεί ο Haron και του παλαιότερου ransomware της ομάδας Avaddon. Ο Avaddon είναι επίσης ένας από τους απειλητικούς ηθοποιούς που έκοψαν και έτρεξαν μετά τη μαζική αναταραχή της νομικής δράσης που ακολούθησε την επίθεση Colonial Pipeline. Η ομάδα κυκλοφόρησε σχεδόν 3.000 κλειδιά αποκρυπτογράφησης ransomware πριν σιωπήσει.

Οι σημειώσεις λύτρων του ransomware Avaddon και Haron είναι επίσης εντυπωσιακά παρόμοιες, με μεγάλα κομμάτια κειμένου που είναι εντελώς πανομοιότυπα.

Όσον αφορά το BlackMatter, οι ερευνητές ισχυρίζονται ότι έχουν λόγους να πιστεύουν ότι αυτό είναι στην πραγματικότητα μια μετενσάρκωση της ομάδας ransomware DarkSide.

Προς το παρόν δεν υπάρχει καθολική συναίνεση ή σκληρή απόδειξη ότι τα δύο νέα ονόματα είναι πράγματι τα παλιά γνωστά πρόσωπα, μετονομασία μόνο και μετονομασία κάτω από ένα λεπτό νέο παλτό βαφής. Μόνο ο χρόνος μπορεί να πει εάν αυτοί είναι πραγματικά οι ίδιοι άνθρωποι, χρησιμοποιώντας τα ίδια ή ελαφρώς τροποποιημένα εργαλεία και τεχνικές ή εντελώς νέους παράγοντες απειλής. Δυστυχώς, καμία προοπτική δεν είναι ιδιαίτερα ενθαρρυντική.