Nowi aktorzy zagrożeń BlackMatter i Haron odwracają głowy
Społeczność infosec zauważyła dwa nowe nazwiska w krajobrazie zagrożeń, w obliczu BlackMatter i Haron. Obie grupy wykazują cechy, które sprawiają, że wyglądają bardzo podobnie do dwóch dużych cyberprzestępców zajmujących się oprogramowaniem ransomware, którzy podobno dopiero niedawno pogrążyli się w ciemności.
To, czy BlackMatter i Haron są po prostu rebrandingami gangów ransomware REvil i DarkSide, nie jest w tej chwili zbyt jasne, ale badacze wskazują na pewne podobieństwa między nimi. Obaj nowi aktorzy zagrożeń twierdzą, że koncentrują swoje wysiłki na ogromnych celach, które są w stanie zapłacić miliony dolarów w postaci okupu, i próbują przywdziewać strój Robin Hooda, twierdząc, że nigdy nie atakują organizacji edukacyjnych, opieki zdrowotnej i instytucji infrastruktury krytycznej – coś, co DarkSide słynął.
Co ciekawe, jak donosi Threatpost, BlackMatter obiecał również bezpłatne narzędzia do deszyfrowania, jeśli jeden z członków gangu nadepnie niewłaściwej organizacji i wykona wyczyn podobny do ataku na rurociąg Colonial, który sparaliżował dostawy paliwa na wschodnie wybrzeże USA na początku tego roku, gdy Partner DarkSide korzystający z modelu oprogramowania ransomware jako usługi zhakował Colonial Pipeline.
Złośliwe oprogramowanie Harona zostało przeanalizowane przez południowokoreańskich badaczy bezpieczeństwa w lipcu 2021 r. i odkryli wiele ciekawych podobieństw między narzędziem używanym przez Harona a starszym oprogramowaniem ransomware grupy Avaddon. Avaddon jest również jednym z aktorów groźby, którzy uciekli i uciekli po masowym wstrząsie prawnym, który nastąpił po ataku Colonial Pipeline. Grupa wydała prawie 3000 kluczy odszyfrowywania oprogramowania ransomware, zanim zamilkła.
Notatki dotyczące okupu oprogramowania ransomware Avaddon i Haron są również uderzająco podobne, z dużymi fragmentami tekstu, które są całkowicie identyczne.
Jeśli chodzi o BlackMatter, badacze twierdzą, że mają podstawy, by sądzić, że jest to w rzeczywistości reinkarnacja grupy ransomware DarkSide.
Obecnie nie ma powszechnego konsensusu ani twardych dowodów na to, że te dwa nowe imiona są rzeczywiście starymi znajomymi twarzami, tylko przemianowanymi i przemianowanymi pod cienką nową warstwą farby. Tylko czas może stwierdzić, czy to naprawdę te same osoby, używające tych samych lub nieco zmodyfikowanych narzędzi i technik, czy też zupełnie nowych cyberprzestępców. Niestety żadna perspektywa nie jest szczególnie zachęcająca.