Nuevos actores de amenazas BlackMatter y Haron vuelven a sus cabezas
La comunidad de infosec detectó dos nuevos nombres en el panorama de amenazas, frente a BlackMatter y Haron. Ambos grupos exhiben rasgos que los hacen parecer muy similares a dos grandes actores de amenazas de ransomware que supuestamente se apagaron recientemente.
No está muy claro en este momento si BlackMatter y Haron son simplemente cambios de marca de las bandas de ransomware REvil y DarkSide, pero los investigadores están señalando algunas similitudes entre ellos. Ambos nuevos actores de amenazas afirman que centran sus esfuerzos en grandes objetivos que son capaces de pagar millones de dólares en dinero de rescate, y están tratando de ponerse el traje de Robin Hood, afirmando que nunca atacarán a las organizaciones educativas, la atención médica y las instituciones de infraestructura crítica, algo que DarkSide era famoso por.
Curiosamente, como informó Threatpost, BlackMatter también ha prometido herramientas de descifrado gratuitas si uno de los afiliados de la pandilla pisa los pies de la organización equivocada y realiza un truco similar al ataque a Colonial Pipeline que paralizó las entregas de combustible de la costa este de EE. UU. A principios de este año, cuando un El afiliado de DarkSide que utiliza el modelo de ransomware como servicio del grupo hackeó Colonial Pipeline.
El malware de Haron fue analizado por investigadores de seguridad de Corea del Sur en julio de 2021 y descubrieron muchas similitudes curiosas entre la herramienta que usa Haron y el antiguo ransomware del grupo Avaddon. Avaddon es también uno de los actores de amenazas que cortó y huyó después de la agitación masiva de acciones legales que siguió al ataque Colonial Pipeline. El grupo lanzó casi 3.000 claves de descifrado de ransomware antes de quedarse en silencio.
Las notas de rescate del ransomware Avaddon y Haron también son sorprendentemente similares, con grandes fragmentos de texto que son completamente idénticos.
Cuando se trata de BlackMatter, los investigadores afirman que tienen motivos para pensar que en realidad se trata de una reencarnación del grupo de ransomware DarkSide.
Actualmente no existe un consenso universal ni pruebas contundentes de que los dos nuevos nombres sean de hecho las viejas caras conocidas, solo que se renombraron y renombraron bajo una nueva y delgada capa de pintura. Solo el tiempo puede decir si esas son realmente las mismas personas, usando las mismas herramientas y técnicas o ligeramente modificadas o actores de amenazas completamente nuevos. Lamentablemente, ninguna de las perspectivas es particularmente alentadora.
