Novos atores de ameaças, BlackMatter e Haron, preparam suas cabeças
A comunidade infosec identificou dois novos nomes no cenário de ameaças, em face de BlackMatter e Haron. Ambos os grupos exibem características que os tornam muito semelhantes a dois grandes atores de ameaças de ransomware que supostamente desapareceram recentemente.
Se BlackMatter e Haron são simplesmente novas marcas das gangues de ransomware REvil e DarkSide, não está muito claro no momento, mas os pesquisadores estão apontando algumas semelhanças entre eles. Ambos os novos atores de ameaças afirmam concentrar seus esforços em alvos enormes, capazes de pagar milhões de dólares em resgate, e estão tentando vestir a roupa de Robin Hood, alegando nunca atacar organizações educacionais, instituições de saúde e de infraestrutura crítica - algo que DarkSide era famoso por.
Curiosamente, como relatou o Threatpost, a BlackMatter também prometeu ferramentas de descriptografia gratuitas se um dos afiliados da gangue se intrometer na organização errada e realizar uma façanha semelhante ao ataque ao Oleoduto Colonial que paralisou as entregas de combustível da Costa Leste dos EUA no início deste ano, quando um A afiliada do DarkSide usando o modelo de ransomware como serviço do grupo invadiu o Colonial Pipeline.
O malware de Haron foi analisado por pesquisadores de segurança sul-coreanos em julho de 2021 e eles descobriram muitas semelhanças curiosas entre a ferramenta que Haron usa e o antigo ransomware do grupo Avaddon. Avaddon também é um dos atores da ameaça que cortou e correu após a grande agitação das ações legais que se seguiram ao ataque do Oleoduto Colonial. O grupo lançou cerca de 3.000 chaves de descriptografia de ransomware antes de ficar em silêncio.
As notas de resgate do ransomware Avaddon e Haron também são surpreendentemente semelhantes, com grandes blocos de texto completamente idênticos.
Quando se trata do BlackMatter, os pesquisadores afirmam que têm motivos para pensar que esta é na verdade uma reencarnação do grupo de ransomware DarkSide.
Atualmente, não há consenso universal ou evidência concreta de que os dois novos nomes sejam de fato os velhos rostos familiares, apenas com a marca e o nome renomeados sob uma fina camada de tinta. Só o tempo pode dizer se essas são realmente as mesmas pessoas, usando as mesmas ferramentas e técnicas ou ligeiramente modificadas ou atores de ameaças completamente novos. Infelizmente, nenhuma das perspectivas é particularmente encorajadora.
