Nieuwe bedreigingsacteurs BlackMatter en Haron steken de kop op
De infosec-gemeenschap zag twee nieuwe namen in het dreigingslandschap, in het gezicht van BlackMatter en Haron. Beide groepen vertonen eigenschappen waardoor ze erg lijken op twee grote ransomware-bedreigingsactoren die zogenaamd pas recentelijk op de vlucht zijn geslagen.
Of BlackMatter en Haron gewoon rebrands zijn van de REvil- en DarkSide-ransomwarebendes is op dit moment niet zo duidelijk, maar onderzoekers wijzen op enkele overeenkomsten tussen hen. Beide nieuwe dreigingsactoren beweren hun inspanningen te concentreren op enorme doelen die in staat zijn om miljoenen dollars losgeld te betalen, en proberen de Robin Hood-outfit aan te trekken, bewerend dat ze nooit onderwijsorganisaties, gezondheidszorg en kritieke infrastructuurinstellingen zullen aanvallen - iets dat DarkSide stond bekend om.
Vreemd genoeg, zoals Threatpost meldde, heeft BlackMatter ook gratis decoderingstools beloofd als een van de gelieerde ondernemingen van de bende op de tenen van de verkeerde organisatie stapt en een stunt uithaalt die lijkt op de aanval op de koloniale pijpleiding die eerder dit jaar de brandstofleveringen aan de oostkust van de VS verlamde, toen een DarkSide-filiaal dat het ransomware-as-a-service-model van de groep gebruikt, heeft Colonial Pipeline gehackt.
De malware van Haron werd in juli 2021 geanalyseerd door Zuid-Koreaanse beveiligingsonderzoekers en ze ontdekten veel merkwaardige overeenkomsten tussen de tool die Haron gebruikt en de oudere ransomware van de Avaddon-groep. Avaddon is ook een van de dreigingsactoren die de massale omwenteling van juridische stappen die volgden op de aanval op de koloniale pijpleiding volgden. De groep heeft bijna 3.000 ransomware-decoderingssleutels vrijgegeven voordat ze stil werden.
De losgeldnota's van de Avaddon- en Haron-ransomware lijken ook opvallend op elkaar, met grote stukken tekst die volledig identiek zijn.
Als het op BlackMatter aankomt, beweren onderzoekers dat ze redenen hebben om te denken dat dit eigenlijk een reïncarnatie is van de DarkSide ransomware-groep.
Er is momenteel geen universele consensus of hard bewijs dat de twee nieuwe namen inderdaad de oude bekende gezichten zijn, alleen omgedoopt en hernoemd onder een slanke nieuwe verflaag. Alleen de tijd kan uitwijzen of het echt dezelfde mensen zijn, dezelfde of licht gewijzigde tools en technieken gebruiken of volledig nieuwe dreigingsactoren. Helaas is geen van beide vooruitzichten bijzonder bemoedigend.