Haron i BlackMatter – nowi gracze czy zapomniane cybergangi?
Na horyzoncie pojawiło się ostatnio kilka nowych grup cyberprzestępczych. Nazywani odpowiednio BlackMatter i Haron, działali wystarczająco krótko, by nadal wyglądać na owianych tajemnicą, i wystarczająco długo, by dać do zrozumienia badaczom bezpieczeństwa o możliwych powiązaniach ze starszymi graczami, takimi jak DarkSide, REvil czy Avaddon.
Spis treści
Wskazywanie na podobne cele
Jest jeszcze za wcześnie, by jednoznacznie stwierdzić, czy dwa nowe gangi są starymi, dobrymi oszustami ze świeżą warstwą farby. Jedna rzecz wydaje się jednak tak jasna jak światło dzienne – obie grupy celują w bogate organizacje rządowe i pozarządowe – podmioty, które nie miałyby problemu z wylewaniem milionów dolarów na potencjalne płatności okupu, gdyby znalazły się pod atakiem oprogramowania ransomware. Nie jest to jednak jedyna wspólna cecha występująca zarówno w Haron i BlackMatter z jednej strony, jak iw DarkSide i REvil z drugiej. Na początek, w ich kodzie i nocie okupu są uderzające podobieństwa.
Inne wspólne cechy…
Rzut oka na żądanie okupu od Harona sugeruje, że ten ostatni mógł zaciągnąć duże pożyczki od Avaddon – niedawnej grupy Ransomware-as-a-Service (RaaS), która wyłudzała średnio 40 tysięcy dolarów na ofiarę, zanim zniknęła w powietrzu jako ostatnia miesiąc nagle. Przed rozwiązaniem cybergang Avadon uderzył podobno aż 2934 cele, jeśli liczba ich ostatnio wydanych kluczy deszyfrujących jest czymś, do czego można się przyczepić. To, że oba zespoły dzielą te same fragmenty kodu JS tu i tam, też nie jest zaskakujące.
Nie tak wspólne cechy
Mimo że notatki Harona i Avaddona wyglądają identycznie, gdy są porównywane obok siebie, istnieje znacząca różnica, jeśli chodzi o wzorzec nazwy stosowany podczas szyfrowania plików. W obecnej sytuacji Haron dostosowuje każde rozszerzenie do nazwy każdej zainfekowanej strony. Co więcej, oparty na języku C# Haron nie rozpęta fali ataków typu Distributed Denial-of-Service (DDoS) na swoje niepłacące cele. W tym samym czasie Avaddon skompilowany w C++ często brał udział w takich potrójnych zagrożeniach. Wreszcie, ofiary Harona mają sześć dni na zapłacenie okupu, w przeciwieństwie do znacznie dłuższego 10-dniowego terminu Avaddona.
BlackMatter – potomek REvil i DarkSide?
BlackMatter to nowy odtwarzacz złośliwego oprogramowania, który zobowiązuje się do atakowania dowolnych podmiotów (z wyjątkiem organizacji opieki zdrowotnej, rządu i infrastruktury krytycznej), których roczne przychody przekraczają 100 milionów dolarów i których sieci mają od 500 do 15 000 hostów. Oszuści stojący za BlackMatter są podobno gotowi rozstać się z setkami tysięcy dolarów, aby dostać się do wadliwych sieci po obu stronach Atlantyku. Misja BlackMatter, aby nie uderzać w rurociągi, elektrownie, organizacje pozarządowe, szpitale, zakłady uzdatniania wody i inne krytyczne obiekty infrastruktury, oznacza, że aktorzy odpowiedzialni za nią są zdeterminowani, aby nie powtórzyć klęski w sprawie rurociągu kolonialnego. To posunięcie sugeruje również, że przyjęli selektywne podejście podczas sporządzania listy potencjalnych celów – zgodnie z najnowszymi trendami ransomware.
Jeszcze wcześnie na ostateczny werdykt
Chociaż nowicjusze Haron i BlackMatter wydają się być bardzo podobni do starszych gangów, takich jak REVil, DarkSide i Avaddon, badacze bezpieczeństwa nie zebrali jeszcze wystarczającej ilości dowodów, aby wykryć bezpośrednie powiązanie. Te pierwsze mogą stać się wyrafinowanymi wersjami tych drugich, a może zupełnie nowymi gangami – poddanymi dodatkowym analizom i badaniom.