BlackMatter和Haron乍听陌生,但它们实际上可能是REvil和DarkSide的化身。俗话说“旧瓶装新酒”,而在这里,却是“新瓶装旧酒”。他们都喜欢财力雄厚的“猎物”,标榜“道德”的体现。对于DarkSide或REvil勒索软件组织,藏身处的犯罪服务器已被发现耗尽。事实证明,我们应该重新认识或重新命名这两个勒索软件团伙。7月出现的第一个新勒索团伙是Haron,其次是BlackMatter。ArsTechnica的DanGoodin指出,这背后可能隐藏着更多的“替身”。勒索软件团伙的目标是资金雄厚的目标,他们可以支付价值数百万美元的赎金。他们还在道德上给自己贴上了DarkSide的标签,使用类似的语言声称要保护医院、关键基础设施、非营利组织等。Haron及其“剪切和粘贴”勒索字条Haron恶意软件的第一个样本于7月19日提交给VirusTotal。三天后,韩国安全公司S2WLab在一篇文章中报告了该组织,列出了Haron和Avaddon之间的相似之处.另一个多产的勒索软件即服务(RaaS)提供商Avaddon在6月消失了,其原因与ColonialPipeline和其他大型勒索软件攻击之后的法律狂潮不同。当时,Avaddon向BleepingComputer发布了解密密钥——总共2,934个,每个受害者一个。据执法部门称,Avaddon要求的平均赎金约为4万美元,这意味着勒索软件运营商及其附属组织在退出时损失了数百万美元。卷土重来,另一种犯罪?S2WLab在7月22日的帖子中表示,当感染Haron勒索软件时,“加密文件的扩展名会更改为受害者的名字。”Haron也类似于Avaddon勒索软件,因为它操作供应商使用勒索票据并操作他们自己的数据泄露站点。在其帖子中,S2W提供了两个团伙勒索赎金的并排图片。如下图所示,两张赎金字条像被“剪切粘贴”一样连接在一起。S2WLab指出,主要区别在于,Haron建议受害者使用特定的ID和密码登录谈判站点。Avaddon和Haron的赎金票据。资料来源:S2WLabsHaron和Avaddon之间还有许多其他相似之处,包括:两个谈判网站上有更多相似的措辞;除了将“Avaddon”的勒索软件名称替换为“Haron”外,谈判站点的界面几乎相同;之前在俄罗斯开发者论坛上发布的用于聊天的相同开源JavaScript代码块;并且两个泄漏站点共享相同的结构。如果Haron是Avaddon的重生,“新瓶装旧酒”包括通过设置下一次数据更新时间来诱导谈判的策略。另一个区别:Haron还没有发现三重威胁,至少现在还没有。在三重威胁攻击中,不仅数据会在要求赎金之前在本地加密和泄露,而且顽固的受害者还会受到分布式拒绝服务(DDoS)攻击的威胁,直到他们愿意支付赎金。此外,Haron将谈判时间缩短为6天,而Avaddon有10天的时间进行谈判。S2WLabs表示,另一个区别是两个勒索软件引擎的运行方式,Haron运行Thanos勒索软件,这是一个类似于勒索软件即服务(RaaS)的“勒索软件附属程序”,自2019年以来一直存在。从那以后就被出售了,Avaddon是用C++编写的。然而,所有的相似之处并不能证明阿瓦顿“涅槃重生”。他们可以简单地表明来自Avaddon的一个或多个威胁参与者正在重启,或仅此而已。根据S2W的文章:“根据我们的分析,很难断定Haron是Avaddon的重新出现。”文章指出“Avaddon开发并使用了他们自己的基于C++的勒索软件”,而Haron发布了一个公开可用的TheThanos勒索软件使用C#。SentinelOne的JimWalter表示,他已经看到Avaddon和Haron样本之间的相似之处,并相信会有更多的样本被曝光。截至7月22日,Haron的泄密网站仅披露了一名受害者。BlackMatter新手提交了第二个自称BlackMatter的勒索软件新手。7月27日,安全公司RecordedFuture及其新闻部门TheRecord报道了新帮派的消息,它认为这是DarkSide和REvil的继任者。风险情报公司Flashpoint也发现了这个“新来者”,指出BlackMatter于7月19日在俄语地下论坛XSS和Exploit上注册了一个帐户,并向其中存入了4个比特币(截至周三下午约为150,000美元)。Expit托管帐户。在DarkSide攻击ColonialPipeline之后,这两个论坛都在5月禁止了勒索软件讨论。在引发东海岸天然气囤积和联邦政府紧急命令的灾难性停工之后,REvil预先审查了其合作伙伴网络,称禁止攻击任何政府、公共、教育或医疗机构。在谈到DarkSide事件时,REvil的支持者表示,该组织“被迫引入”这些“重大新限制”,并承诺违反新规则的勒索软件附属运营商将被踢出该组织,并获得免费解密工具。Flashpoint指出,Exploit论坛上的大量存款表明BlackMatter问题的严重性。7月21日,威胁行为者表示该网络正在寻求购买对美国、加拿大、澳大利亚和英国受影响网络的访问权,可能用于勒索软件操作。它提供高达100,000美元的网络访问和赎金的一部分。高投入,大鱼BlackMatter之所以投入大资金,是因为它“钓大”。该组织表示,它正在寻找收入超过1亿美元的资金雄厚的组织,这个组织的规模可能会支付大笔赎金。威胁参与者还需要目标网络中的500到15,000台主机。此要求适用于除医疗保健和政府组织之外的所有行业。“我们是道德吸血鬼”以道德标榜自己,特定行业组织绝不会攻击。TheRecord报道称,BlackMatter的数据泄露站点目前是空的,这意味着BlackMatter本周才上线,尚未进行任何网络渗透攻击。BlackMatter泄漏站点列出了一部分目标类型是禁止访问的,包括:医院关键基础设施(核电站、发电厂、水处理设施)石油和天然气行业(管道、炼油厂)国防行业非营利性公司熟悉吗?在Colonial攻击之后,DarkSide团伙似乎也对数据泄露站点上的其他勒索团伙施加了“诅咒”。这些团伙的附属机构不一定遵守,但BlackMatter承诺,如果这些行业的受害者受到攻击,勒索软件运营商将免费解密他们的数据。负责提供威胁情报和赎金谈判的GroupSense情报服务副总裁MikeFowler一直在关注BlackMatter。最近,Hive、Grief和最近的BlackMatter等新兴RaaS卡特尔使用的策略、技术和流程(TTP)的演变让人想起2020年迷宫主导的“双重勒索”。Fowler在一封电子邮件中说:“GroupSense目睹了RaaS卡特尔内部预期的争夺目标用户地位和品牌知名度的争夺,BlackMatter在前两个网络犯罪论坛上的帐户注册清楚地证明了这一点。他们在RussiaExploit,最大的网络犯罪论坛,将4个比特币存入他们的托管账户,显然是为了获得合法性。”DigitalShadows的SeanNikkel在7月28日表示,勒索团伙在选择攻击目标时,也在慎重选择,进行“尽职调查”。“我们一次又一次地发现,他们对目标组织内的关键人物、收入、规模甚至客户都有一些洞察力,因此大型游戏狩猎的想法似乎与观察到的勒索软件趋势一致,”Nikkel说通过电子邮件。勒索软件向部分行业发出的美德信号和承诺是一个“有趣的转折”。Nikkel补充道,“虽然REvil之前一直公开表示一切都是公平的,但如果他们重生了,也许这会让他们改变主意。“有趣”是描述它的一种方式,另一种是“像吸血寄生虫一样吱吱叫”,正如Ars报道的评论者所说:GroupSense的Fowler也没有对BlackMatter造成一些伤害该组织的“小指承诺”印象深刻。他说这听起来特别空洞,“因为随着#2RaaS逐渐消失(推翻原来的音调),REvil越来越突出。从长远来看,虽然BlackMatter是“当今的时尚”,但Fowler说其他RaaS服务,例如Conti、Grief、Hive和LockBit,“也是一个巨大的威胁。”时间会证明一切:下一个勒索软件是Phoenix还是NewRatbag?NewNetTechnologies(NNT)安全研究全球副总裁DirkSchrader告诉Threatpost7月28日,任何人都很难在没有看到REvil或DarkSide重新出现的明显迹象的情况下做出判断。重新出现只是为了让追踪变得更加困难。”与此同时,施拉德预测,目前的情况将很难改变,并将持续一段时间。事实上,威胁行为者正在改进他们的方法,使用工具来查看具有“更高级别”的目标支付赎金的激励措施m,例如Kaseya和SolarWinds。施拉德通过电子邮件表示:“勒索软件组织将继续寻找可能更高的激励措施。”支付的攻击媒介,这是该业务的下一个方向,我们已经看到了早期结果。Kaseya、SolarWinds,这些工具承诺可以访问组织的收入流和声誉所依赖的高价值资产。Schrader将VMware最近为EXSi服务器添加的加密功能视为“未来的预兆”,并指出最近CISA对最常被利用的漏洞发出警报,包括有关CVE-2021-21985的警告:VMware中的关键远程代码执行(RCE)漏洞vCenterServer和VMwareCloudFoundation。“从本质上讲,不支付赎金是随着时间的推移根除勒索软件的唯一方法,”施拉德建议道。“因此,为了做到这一点,公司必须最大限度地减少和保护他们的攻击面,强化他们的系统和基础设施,妥善管理现有账户并删除旧账户。根据风险修补漏洞,并在受到攻击时在有弹性的网络中运营。”资料来源:BlackMatter&Haron:邪恶的勒索软件新生儿或重生
