Les nouveaux acteurs menaçants BlackMatter et Haron se retournent
La communauté infosec a repéré deux nouveaux noms dans le paysage des menaces, face à BlackMatter et Haron. Les deux groupes présentent des caractéristiques qui les font ressembler beaucoup à deux grands acteurs de la menace des ransomwares qui ne sont apparemment devenus sombres que récemment.
Que BlackMatter et Haron soient simplement des nouvelles marques des gangs de ransomware REvil et DarkSide n'est pas très clair pour le moment, mais les chercheurs soulignent certaines similitudes entre eux. Les deux nouveaux acteurs de la menace prétendent concentrer leurs efforts sur des cibles énormes capables de payer des millions de dollars en rançon, et essaient de revêtir la tenue Robin des Bois, prétendant ne jamais attaquer les établissements d'enseignement, les établissements de santé et les infrastructures critiques - quelque chose qui DarkSide était célèbre pour.
Curieusement, comme l'a rapporté Threatpost, BlackMatter a également promis des outils de décryptage gratuits si l'un des affiliés du gang marche sur les pieds de la mauvaise organisation et réussit un coup similaire à l'attaque contre le pipeline Colonial qui a paralysé les livraisons de carburant de la côte est des États-Unis plus tôt cette année, lorsqu'un L'affilié de DarkSide utilisant le modèle de ransomware en tant que service du groupe a piraté Colonial Pipeline.
Le malware de Haron a été analysé par des chercheurs en sécurité sud-coréens en juillet 2021 et ils ont découvert de nombreuses similitudes curieuses entre l'outil utilisé par Haron et l'ancien ransomware du groupe Avaddon. Avaddon est également l'un des acteurs menaçants qui ont pris la fuite après le bouleversement massif des poursuites judiciaires qui a suivi l'attaque du pipeline colonial. Le groupe a publié près de 3 000 clés de décryptage de ransomware avant de se taire.
Les notes de rançon du ransomware Avaddon et Haron sont également étonnamment similaires, avec de gros morceaux de texte qui sont complètement identiques.
En ce qui concerne BlackMatter, les chercheurs affirment avoir des raisons de penser qu'il s'agit en fait d'une réincarnation du groupe de ransomware DarkSide.
Il n'y a actuellement aucun consensus universel ni aucune preuve tangible que les deux nouveaux noms sont en effet les anciens visages familiers, seulement renommés et renommés sous une nouvelle couche de peinture mince. Seul le temps peut dire s'il s'agit vraiment des mêmes personnes, utilisant des outils et techniques identiques ou légèrement modifiés ou des acteurs de menace complètement nouveaux. Malheureusement, aucune des deux perspectives n'est particulièrement encourageante.
