Haron en BlackMatter – Nieuwe spelers of vergeten cyberbendes?
Onlangs zijn er een aantal nieuwe cybercriminele groepen aan de horizon verschenen. Ze worden respectievelijk BlackMatter en Haron genoemd en zijn er kort genoeg geweest om er nog steeds gehuld in mysterie uit te zien, en lang genoeg om beveiligingsonderzoekers te wijzen op mogelijke connecties met oudere spelers zoals DarkSide, REvil of Avaddon.
Inhoudsopgave
Wijzen naar vergelijkbare doelen
Het is nog te vroeg om een harde conclusie te trekken of de twee nieuwe bendes de goede oude boeven zijn met een frisse verflaag. Eén ding lijkt echter zo duidelijk: beide groepen mikken op rijke overheids- en niet-gouvernementele organisaties – entiteiten die er geen probleem mee zouden hebben om mogelijk miljoenen dollars aan losgeld te besteden als ze zouden worden getroffen door een ransomware-aanval. Maar dat is bij lange na niet de enige gemeenschappelijke kenmerk in beide, Haron en BlackMatter, aan de ene kant, en DarkSide en Revil aan de andere kant. Om te beginnen zijn er opvallende overeenkomsten in hun code en losgeldbrief.
Andere gemeenschappelijke kenmerken…
Een blik op het losgeldbriefje van Haron suggereert dat laatstgenoemde mogelijk wat geld heeft geleend van Avaddon – een recente Ransomware-as-a-Service (RaaS)-groep die vroeger gemiddeld $ 40 duizend per slachtoffer afpersde, voordat hij als laatste in het niets verdween. maand ineens. Voordat ze uit elkaar gingen, had de cyberbende van Avadon naar verluidt maar liefst 2.934 doelen getroffen, als het aantal van hun recent vrijgegeven decoderingssleutels iets is om af te gaan. Dat beide bands hier en daar dezelfde delen van JS-code delen, is ook niet verwonderlijk.
Niet zo gebruikelijke functies
Hoewel de aantekeningen van Haron en Avaddon er identiek uitzien wanneer ze naast elkaar worden vergeleken, is er een opmerkelijk verschil als het gaat om het naampatroon dat wordt toegepast bij bestandscodering. Zoals het is, stemt Haron elke extensie af op de naam van elke geïnfecteerde partij. Bovendien zou de op C# gebaseerde Haron geen golf van Distributed Denial-of-Service (DDoS)-aanvallen ontketenen op zijn niet-betalende doelen. Tegelijkertijd heeft de met C++ gecompileerde Avaddon zich al vaker met dergelijke triple-threat-spellen beziggehouden. Last but not least hebben de slachtoffers van Haron zes dagen om het losgeld te betalen, in tegenstelling tot Avaddons aanzienlijk langere termijn van 10 dagen.
BlackMatter – Een afstammeling van REvil en DarkSide?
BlackMatter is een nieuwe malwarespeler die belooft alle entiteiten aan te vallen (behalve organisaties in de gezondheidszorg, de overheid en kritieke infrastructuur) met een jaarlijkse omzet van meer dan $ 100 miljoen en wiens netwerken tussen de 500 en 15.000 hosts hebben. De boeven achter BlackMatter zijn naar verluidt bereid om met honderdduizenden dollars uit elkaar te gaan om ook hun weg te vinden naar gebrekkige netwerken aan weerszijden van de Atlantische Oceaan. De missie van BlackMatter om pijpleidingen, energiecentrales, NGO's, ziekenhuizen, waterzuiveringsinstallaties en andere kritieke infrastructuurobjecten niet te raken, impliceert dat de verantwoordelijke actoren vastbesloten zijn het koloniale pijpleidingdebacle niet te herhalen. Die stap suggereert ook dat ze een selectieve aanpak hebben gevolgd bij het opstellen van de lijst met potentiële doelen - in lijn met de nieuwste ransomware-trends.
Nog vroeg voor een definitief oordeel
Hoewel nieuwkomers Haron en BlackMatter veel gelijkenis lijken te vertonen met oudere bendes zoals REVil, DarkSide en Avaddon, hebben beveiligingsonderzoekers nog onvoldoende bewijs verzameld om een direct verband te ontdekken. De eerste kunnen verfijnde versies van de laatste worden of misschien geheel nieuwe bendes - onderhevig aan aanvullende analyses en onderzoeken.