Nuovi attori minacciosi BlackMatter e Haron alzano la testa

La comunità di infosec ha individuato due nuovi nomi nel panorama delle minacce, di fronte a BlackMatter e Haron. Entrambi i gruppi mostrano tratti che li fanno sembrare molto simili a due grandi attori di minacce ransomware che presumibilmente si sono oscurati solo di recente.

Se BlackMatter e Haron siano semplicemente dei rebrand delle gang di ransomware REvil e DarkSide non è molto chiaro al momento, ma i ricercatori stanno sottolineando alcune somiglianze tra loro. Entrambi i nuovi attori delle minacce affermano di concentrare i loro sforzi su obiettivi enormi che sono in grado di pagare milioni di dollari in denaro di riscatto e stanno cercando di indossare il vestito di Robin Hood, affermando di non attaccare mai le organizzazioni educative, le istituzioni sanitarie e le infrastrutture critiche - qualcosa che DarkSide era famoso per.

Curiosamente, come riportato da Threatpost, BlackMatter ha anche promesso strumenti di decrittazione gratuiti se uno degli affiliati della banda calpesta i piedi dell'organizzazione sbagliata e mette a segno un'acrobazia simile all'attacco al Colonial Pipeline che ha paralizzato le consegne di carburante della costa orientale degli Stati Uniti all'inizio di quest'anno, quando un Affiliato a DarkSide che utilizza il modello ransomware-as-a-service del gruppo hackerato Colonial Pipeline.

Il malware di Haron è stato analizzato dai ricercatori di sicurezza sudcoreani nel luglio 2021 e hanno scoperto molte curiose somiglianze tra lo strumento utilizzato da Haron e il vecchio ransomware del gruppo Avaddon. Avaddon è anche uno degli attori della minaccia che hanno tagliato e sono fuggiti dopo il massiccio sconvolgimento delle azioni legali che ha seguito l'attacco alla Colonial Pipeline. Il gruppo ha rilasciato quasi 3.000 chiavi di decrittazione ransomware prima di passare al silenzio.

Anche le note di riscatto del ransomware Avaddon e Haron sono sorprendentemente simili, con grandi blocchi di testo completamente identici.

Quando si tratta di BlackMatter, i ricercatori affermano di avere motivo di pensare che si tratti in realtà di una reincarnazione del gruppo ransomware DarkSide.

Al momento non c'è un consenso universale o una prova concreta che i due nuovi nomi siano effettivamente i vecchi volti familiari, solo rinominati e rinominati sotto una nuova sottile mano di vernice. Solo il tempo può dire se si tratta davvero delle stesse persone, che utilizzano gli stessi strumenti e tecniche o leggermente modificati o attori di minacce completamente nuovi. Purtroppo, nessuna delle due prospettive è particolarmente incoraggiante.