新しい脅威アクターBlackMatterとHaronが頭を抱える
infosecコミュニティは、BlackMatterとHaronに直面して、脅威の状況で2つの新しい名前を発見しました。どちらのグループも、最近暗くなったと思われる2人の大きなランサムウェアの脅威アクターに非常によく似た特徴を示しています。
BlackMatterとHaronが単にREvilとDarkSideのランサムウェアギャングのリブランドであるかどうかは現時点ではあまり明確ではありませんが、研究者はそれらの間のいくつかの類似点を指摘しています。両方の新しい脅威アクターは、数百万ドルの身代金を支払うことができる巨大なターゲットに努力を集中していると主張し、ロビンフッドの衣装を身に着けようとしています。 DarkSideはで有名でした。
不思議なことに、Threatpostが報告したように、BlackMatterは、ギャングの関連会社の1つが間違った組織のつま先を踏んで、今年初めに米国東海岸の燃料供給を不自由にしたコロニアルパイプラインへの攻撃と同様のスタントを実行した場合、無料の復号化ツールも約束しました。グループのサービスとしてのランサムウェアモデルを使用しているDarkSideアフィリエイトは、コロニアルパイプラインをハッキングしました。
ハロンのマルウェアは、2021年7月に韓国のセキュリティ研究者によって分析され、ハロンが使用するツールと古いアバドングループのランサムウェアとの間に多くの奇妙な類似点を発見しました。アバドンは、コロニアルパイプライン攻撃に続く法的措置の大規模な激変を切り抜けて逃げ出した脅威アクターの1人でもあります。このグループは、沈黙する前に3,000近くのランサムウェア復号化キーをリリースしました。
AvaddonとHaronのランサムウェアの身代金メモも非常によく似ており、テキストの大きな塊が完全に同一です。
BlackMatterに関しては、研究者たちは、これが実際にはDarkSideランサムウェアグループの生まれ変わりであると考える根拠があると主張しています。
現在、2つの新しい名前が確かに古いおなじみの顔であり、スリムな新しい塗装の下でブランドが変更され、名前が変更されただけであるという普遍的なコンセンサスや確固たる証拠はありません。同じまたはわずかに変更されたツールや手法を使用して、またはまったく新しい脅威アクターを使用して、それらが本当に同じ人々であるかどうかを判断できるのは時間だけです。悲しいことに、どちらの見通しも特に勇気づけられるものではありません。