Haron och BlackMatter-Nya spelare eller väl glömda cybergäng?
Ett par nya cyberbrottsliga grupper har dykt upp i horisonten nyligen. Kallas BlackMatter respektive Haron, de har funnits tillräckligt korta för att se fortfarande inslagna i mystik och tillräckligt länge för att antyda säkerhetsforskare om möjliga kopplingar till äldre spelare som DarkSide, REvil eller Avaddon.
Innehållsförteckning
Pekar på liknande mål
Det är för tidigt att göra en bestämd slutsats om de två nya gängen är de gamla goda skurkarna med en ny färgfärg. En sak ser emellertid lika tydlig ut som dagsljus-båda grupperna siktar på rika myndigheter och icke-statliga organisationer-enheter som inte skulle ha några problem att spruta ut miljoner dollar på lösenbetalningar potentiellt, om det skulle falla under en ransomware-attack. Det är dock överlägset inte den enda gemensamma egenskapen som finns i båda, Haron och BlackMatter, å ena sidan, och DarkSide och REvil å andra sidan. Till att börja med finns det slående likheter i deras kod och lösenanteckning.
Andra vanliga funktioner ...
En blick på Harons lösenanteckning antyder att den senare kan ha gjort en rejäl upplåning från Avaddon-en ny Ransomware-as-a-Service (RaaS) -grupp som brukade utpressa i genomsnitt 40 tusen dollar per offer, innan han försvann i luften senast månad plötsligt. Innan upplösningen hade Avadon -cybergänget träffat så många som 2 934 mål enligt uppgift, om antalet nyligen släppta dekrypteringsnycklar är något att gå efter. Att båda banden delar samma delar av JS -kod här och där är inte heller förvånande.
Inte så vanliga funktioner
Även om Harons och Avaddons anteckningar ser identiska ut när de jämförs sida vid sida, finns det en märkbar skillnad när det gäller namnmönstret som tillämpas på filkryptering. Som det är skräddarsyr Haron varje tillägg till namnet på varje infekterad part. Dessutom skulle den C#-baserade Haron inte släppa lös en våg av Distributed Denial-of-Service (DDoS) attacker mot sina icke-betalande mål. Samtidigt har C ++ -kompilerade Avaddon ofta ägnat sig åt sådana trippel-hotspel tidigare. Sist men inte minst har Harons offer sex dagar på sig att betala lösen, till skillnad från Avaddons betydligt längre tidsfrist på 10 dagar.
BlackMatter - En ättling till REvil och DarkSide?
BlackMatter är en ny malware -spelare som lovar att attackera alla enheter (utom sjukvård, myndigheter och kritiska infrastrukturorganisationer) vars årliga intäkter överstiger 100 miljoner dollar och vars nätverk har mellan 500 och 15 000 värdar. Skurkarna bakom BlackMatter är enligt uppgift redo att skilja sig från hundratusentals dollar för att ta sig till felaktiga nätverk på båda sidor av Atlanten också. BlackMatters uppdrag att inte träffa rörledningar, kraftverk, icke -statliga organisationer, sjukhus, vattenreningsanläggningar och andra kritiska infrastrukturobjekt innebär att de ansvariga aktörerna är fast beslutna att inte upprepa den koloniala rörledningen. Detta drag tyder också på att de har antagit ett selektivt tillvägagångssätt när de utarbetar listan över potentiella mål - i linje med de senaste trenderna för ransomware.
Fortfarande tidigt för en slutgiltig dom
Även om nykomlingar Haron och BlackMatter tycks ha stor likhet med äldre gäng som REVil, DarkSide och Avaddon, har säkerhetsforskare ännu inte samlat in tillräckligt med bevis för att upptäcka en direkt koppling. Det förra kan bli förfinade versioner av det senare eller kanske helt nya gäng - föremål för ytterligare analyser och undersökningar.