Haron e BlackMatter: nuovi giocatori o cyber gang ben dimenticate?
Recentemente sono apparsi all'orizzonte un paio di nuovi gruppi di criminali informatici. Soprannominati rispettivamente BlackMatter e Haron, sono stati abbastanza brevi da sembrare ancora avvolti nel mistero e abbastanza a lungo da suggerire ai ricercatori della sicurezza possibili connessioni con giocatori più anziani come DarkSide, REvil o Avaddon.
Sommario
Puntando a obiettivi simili
È troppo presto per trarre una conclusione definitiva se le due nuove bande siano i buoni vecchi delinquenti con una nuova mano di vernice. Tuttavia, una cosa sembra chiara come la luce del sole: entrambi i gruppi mirano a ricche organizzazioni governative e non governative, entità che non avrebbero problemi a spendere milioni di dollari in pagamenti di riscatto, se dovessero cadere sotto un attacco ransomware. Tuttavia, questa non è di gran lunga l'unica caratteristica comune presente in entrambi, Haron e BlackMatter, da un lato, e DarkSide e REvil dall'altro. Per cominciare, ci sono sorprendenti somiglianze nel loro codice e nella richiesta di riscatto.
Altre caratteristiche comuni...
Uno sguardo alla richiesta di riscatto di Haron suggerisce che quest'ultimo potrebbe aver preso in prestito pesantemente da Avaddon - un recente gruppo Ransomware-as-a-Service (RaaS) che era solito estorcere una media di $ 40 mila per vittima, prima di scomparire nel nulla l'ultima volta mese improvvisamente. Prima di sciogliersi, la banda cibernetica di Avadon aveva colpito fino a 2.934 obiettivi secondo quanto riferito, se il numero delle chiavi di decrittazione rilasciate di recente è qualcosa da cui partire. Che entrambe le bande condividano le stesse porzioni di codice JS qua e là non è sorprendente.
Caratteristiche non così comuni
Anche se le note di Haron e Avaddon sembrano identiche se confrontate fianco a fianco, c'è una notevole differenza quando si tratta del modello di nome applicato alla crittografia dei file. Così com'è, Haron adatta ogni estensione al nome di ogni parte infetta. Inoltre, Haron basato su C# non scatenerebbe un'ondata di attacchi DDoS (Distributed Denial-of-Service) sui suoi obiettivi gratuiti. Allo stesso tempo, l'Avaddon compilato in C++ si è spesso impegnato in tali giochi a tripla minaccia in precedenza. Ultimo ma non meno importante, le vittime di Haron hanno sei giorni per pagare il riscatto, a differenza della scadenza di 10 giorni notevolmente più lunga di Avaddon.
BlackMatter – Un discendente di REvil e DarkSide?
BlackMatter è un nuovo giocatore di malware che si impegna ad attaccare qualsiasi entità (ad eccezione di organizzazioni sanitarie, governative e di infrastrutture critiche) il cui fatturato annuo supera i 100 milioni di dollari e le cui reti hanno tra 500 e 15.000 host. Secondo quanto riferito, i truffatori dietro BlackMatter sono pronti a separarsi con centinaia di migliaia di dollari per farsi strada anche su reti difettose su entrambe le sponde dell'Atlantico. La missione di BlackMatter di non colpire condutture, centrali elettriche, ONG, ospedali, impianti di trattamento delle acque e altri oggetti infrastrutturali critici implica che gli attori responsabili siano determinati a non ripetere la debacle dell'oleodotto coloniale. Questa mossa suggerisce anche che hanno adottato un approccio selettivo durante la stesura dell'elenco dei potenziali obiettivi, in linea con le più recenti tendenze del ransomware.
Ancora presto per un verdetto definitivo
Sebbene i nuovi arrivati Haron e BlackMatter sembrino avere una notevole somiglianza con bande più vecchie come REVil, DarkSide e Avaddon, i ricercatori della sicurezza devono ancora raccogliere prove sufficienti per individuare una connessione diretta. I primi possono diventare versioni raffinate del secondo o forse bande completamente nuove, soggette a ulteriori analisi e indagini.