Новые актеры угроз BlackMatter и Haron поднимают голову

Сообщество информационной безопасности обнаружило на ландшафте угроз два новых имени в лице BlackMatter и Haron. Обе группы обладают чертами, которые делают их очень похожими на двух крупных злоумышленников, угрожающих вымогательством, которые якобы исчезли совсем недавно.

Являются ли BlackMatter и Haron просто ребрендингом банд вымогателей REvil и DarkSide, на данный момент не слишком ясно, но исследователи указывают на некоторое сходство между ними. Оба новых злоумышленника заявляют, что сосредотачивают свои усилия на огромных целях, способных заплатить миллионы долларов выкупа, и пытаются надеть костюм Робин Гуда, заявляя, что никогда не атакуют образовательные организации, здравоохранение и учреждения критической инфраструктуры - что-то, что DarkSide прославился.

Любопытно, что, как сообщал Threatpost, BlackMatter также пообещал бесплатные инструменты дешифрования, если одно из филиалов банды наступит не на ту организацию и выполнит трюк, похожий на атаку на Colonial Pipeline, которая привела к остановке поставок топлива на Восточное побережье США в начале этого года, когда Партнер DarkSide, использующий модель группы вымогателей как услугу, взломал Colonial Pipeline.

Вредоносное ПО Haron было проанализировано южнокорейскими исследователями безопасности в июле 2021 года, и они обнаружили много любопытных сходств между инструментом, который использует Haron, и более ранней программой-вымогателем группы Avaddon. Аваддон также является одним из действующих лиц, которые бросили вызов и убежали после массовых судебных исков, последовавших за атакой на Colonial Pipeline. Группа выпустила около 3000 ключей дешифрования программ-вымогателей, прежде чем замолчать.

Заметки о выкупе программ-вымогателей Avaddon и Haron также поразительно похожи: большие фрагменты текста полностью идентичны.

Что касается BlackMatter, исследователи утверждают, что у них есть основания полагать, что это реинкарнация группы вымогателей DarkSide.

В настоящее время нет универсального консенсуса или веских доказательств того, что два новых имени действительно являются старыми знакомыми лицами, только переименованные и переименованные под тонким новым слоем краски. Только время может сказать, действительно ли это одни и те же люди, использующие те же или слегка измененные инструменты и методы, или совершенно новые субъекты угроз. К сожалению, ни одна из перспектив не вызывает особого оптимизма.