Haron e BlackMatter - Novos Jogadores ou Gangues Cibernéticas Esquecidas?

Por Chance em Computer Security

Traduzir Para:

Alguns novos grupos ciber-criminosos surgiram no horizonte recentemente. Chamados de BlackMatter e Haron, respectivamente, eles são novos o suficiente para parecerem ainda envoltos em mistério, e vem atuando por um tempo suficiente para sugerir aos pesquisadores de segurança possíveis conexões com jogadores mais velhos, tais como DarkSide, REvil ou Avaddon.

Índice

Apontando para Alvos Semelhantes

É muito cedo para concluir se as duas novas gangues são os bons e velhos vigaristas com uma nova camada de tinta. No entanto, uma coisa parece tão clara quanto a luz do dia - ambos os grupos visam organizações governamentais e não governamentais ricas - entidades que não teriam nenhum problema em gastar milhões de dólares em pagamentos de resgate potencialmente, caso caíssem sob um ataque de ransomware. No entanto, essa não é, de longe, a única característica comum presente em ambos, Haron e BlackMatter, por um lado, e DarkSide e REvil, por outro. Para começar, existem semelhanças impressionantes em seu código e na nota de resgate.

Outros Recursos Comuns...

Uma olhada na nota de resgate do Haron sugere que este último pode ter feito alguns empréstimos pesados do Avaddon - um grupo Ransomware-as-a-Service (RaaS) recente que costumava extorquir uma média de $40 mil por vítima, antes de desaparecer no ar por último mês de repente. Antes de se separar, a gangue cibernética Avadon atingiu até 2.934 alvos, segundo consta, se o número de suas chaves de descriptografia recém-lançadas servir de referência. O fato de ambas as bandas compartilharem as mesmas partes do código JS aqui e ali também não é surpreendente.

…E não Tão Comuns

Mesmo que as notas do Haron e do Avaddon pareçam idênticas quando comparadas lado a lado, há uma diferença notável quando se trata do padrão de nome aplicado na criptografia de arquivo. Do jeito que está, Haron adapta cada extensão ao nome de cada parte infectada. Além disso, o Haron baseado em C # não desencadearia uma onda de ataques de Negação de Serviço Distribuída (DDoS) contra seus alvos não pagantes. Ao mesmo tempo, o Avaddon compilado em C ++ muitas vezes já se envolveu em tais jogos de ameaça tripla antes. Por último, mas não menos importante, as vítimas de Haron têm seis dias para pagar o resgate, ao contrário do prazo consideravelmente mais longo de 10 dias de Avaddon.

BlackMatter - Um Descendente do REvil e do DarkSide?

O BlackMatter é um novo player de malware que se compromete a atacar qualquer entidade (exceto organizações de saúde, governo e infraestrutura crítica) cuja receita anual exceda US $100 milhões e cujas redes tenham entre 500 e 15.000 hosts. Os criminosos por trás do BlackMatter estão supostamente prontos para abrir mão de centenas de milhares de dólares para chegar a redes defeituosas em ambos os lados do Atlântico. A missão da BlackMatter de não atingir oleodutos, usinas de energia, ONGs, hospitais, instalações de tratamento de água e outros objetos de infraestrutura crítica implica que os atores responsáveis estão determinados a não repetir o desastre do oleoduto colonial. Essa mudança também sugere que eles adotaram uma abordagem seletiva ao elaborar a lista de alvos potenciais - de acordo com as tendências mais recentes de ransomware.

Ainda é Cedo para um Veredicto Definitivo

Embora os recém-chegados Haron e BlackMatter pareçam ter uma semelhança considerável com gangues mais antigas, tais como REVil, DarkSide e Avaddon, os pesquisadores de segurança ainda precisam reunir evidências suficientes para detectar uma conexão direta. As primeiras podem se tornar versões refinadas das últimas ou talvez gangues inteiramente novas - sujeitas a análises e investigações adicionais.