Ο Ιούλιος έχει φέρει μέχρι τώρα τουλάχιστον δύο νέες ransomware ομάδες. Ή ίσως να είναι, στην πραγματικότητα, παλιές ομάδες που επέστρεψαν με άλλη ονομασία. Οι δύο ομάδες στοχεύουν κυρίως εταιρείες και επιχειρήσεις υψηλού προφίλ, καθώς αυτές είναι πιο πιθανό να πληρώσουν τεράστια ποσά λύτρων (που ανέρχονται σε εκατομμύρια δολάρια). Αυτές οι δύο προσθήκες στο τοπίο των απειλών, έρχονται μετά από μία σειρά πρόσφατων ransomware επιθέσεων στην Colonial Pipeline, τη JBS και την Kaseya, που έχουν προκαλέσει σημαντικές διαταραχές, ενώ παράλληλα άσκησαν έντονη πίεση στην Ουάσινγκτον για τον περιορισμό των κυβερνο-απειλών. Ας δούμε όμως πιο αναλυτικά τις δύο ομάδες, με τις ονομασίες “Haron” και “BlackMatter”.
Haron: Παρόμοια ομάδα με το Avaddon;
Ένα δείγμα του Haron malware υποβλήθηκε για πρώτη φορά, στο VirusTotal, στις 19 Ιουλίου. Τρεις ημέρες αργότερα, η εταιρεία ασφάλειας της Νότιας Κορέας “S2W Lab” αναφέρθηκε στη συμμορία κυβερνοεγκλήματος σε ένα post.
Το μεγαλύτερο μέρος του site της ομάδας στο dark web προστατεύεται με κωδικό πρόσβασης από εξαιρετικά αδύναμα credentials. Μόλις περάσετε τη σελίδα σύνδεσης, υπάρχει μια λίστα με φερόμενους στόχους, ένα chat transcript που δεν μπορεί να εμφανιστεί πλήρως και η εξήγηση της ομάδας για την αποστολή της.
Διαβάστε επίσης: LockBit ransomware: Κρυπτογραφεί Windows domains χρησιμοποιώντας group policies
Όπως επεσήμανε η S2W Lab, η διάταξη, η οργάνωση και η εμφάνιση του site είναι σχεδόν πανομοιότυπες με αυτές του Avaddon, της ransomware ομάδας που σταμάτησε τη δραστηριότητά της τον Ιούνιο, αφού διέθεσε ένα κλειδί αποκρυπτογράφησης στο BleepingComputer, το οποίο θα μπορούσαν να χρησιμοποιήσουν τα θύματα για να ανακτήσουν τα δεδομένα τους.
Η ομοιότητα των δύο ομάδων από μόνη της δεν έχει ιδιαίτερη σημασία. Θα μπορούσε να σημαίνει ότι ο δημιουργός του site του Haron βρισκόταν πίσω από τη διαχείριση και του site του Avaddon.
Μια σύνδεση μεταξύ των Haron και Avaddon θα ήταν πιο πιθανή εάν υπήρχαν επικαλύψεις ή ομοιότητες στον κώδικα που χρησιμοποιούν οι δύο ομάδες. Μέχρι στιγμής δεν έχουν αναφερθεί τέτοιοι συνδετικοί κρίκοι.
Δείτε ακόμη: Grief ransomware επίθεση στον Δήμο Θεσσαλονίκης – Τι ζητούν οι χάκερς;
Ο «κινητήρας» του Haron ransomware, σύμφωνα με τη S2W Lab, είναι το Thanos, ένα ξεχωριστό στέλεχος ransomware που αναπτύσσει δραστηριότητα στο τοπίο των απειλών τουλάχιστον από το 2019. Το Haron αναπτύχθηκε με τη χρήση ενός Thanos builder που δημοσιεύτηκε πρόσφατα για τη γλώσσα προγραμματισμού C. Αντίθετα, το Avaddon γράφτηκε στη C ++.
BlackMatter: Ο «διάδοχος» των REvil και DarkSide;
Ο δεύτερη ransomware που έκανε την εμφάνισή της μέσα στον Ιούλιο, έχει την ονομασία “BlackMatter”. Αναφέρθηκε, στις 27 Ιουλίου, από την εταιρεία ασφαλείας “Recorded Future” και το ειδησεογραφικό site “The Record”.
Πρόταση: Kaseya REvil ransomware: Η εταιρεία απέκτησε το κλειδί αποκρυπτογράφησης
Η “Recorded Future”, το “The Record” και η εταιρεία ασφαλείας “Flashpoint”, η οποία «κάλυψε» επίσης την εμφάνιση του BlackMatter, αμφιβάλλουν ότι η ομάδα συνδέεται με εκείνες των DarkSide και REvil. Αυτές οι δύο ransomware ομάδες σταμάτησαν ξαφνικά τις «επιχειρήσεις» τους, μετά από τις επιθέσεις – εναντίον της JBS και της Kaseya (στην περίπτωση του REvil) και της Colonial Pipeline (στην περίπτωση του DarkSide) – έχοντας πρώτα τραβήξει πάνω τους περισσότερη προσοχή από ό,τι ήθελαν. Το Υπουργείο Δικαιοσύνης των ΗΠΑ (DoJ) ισχυρίστηκε αργότερα ότι ανέκτησε 2,3 εκατομμύρια δολάρια από τα 4,4 εκατομμύρια δολάρια που είχαν καταβληθεί από την Colonial Pipeline σε λύτρα.
