Haron y BlackMatter son los últimos grupos en bloquear la fiesta del ransomware

Hasta ahora, julio ha marcado el comienzo de al menos dos nuevos grupos de ransomware. O tal vez son viejos que están experimentando un cambio de marca. Los investigadores están en proceso de analizar varias teorías diferentes.

Ambos grupos dicen que están apuntando a objetivos importantes, es decir, corporaciones u otras grandes empresas con los bolsillos para pagar rescates en millones de dólares. Las adiciones se producen cuando las recientes intrusiones de ransomware del operador del oleoducto Colonial Pipeline, la empacadora de carne JBS SA y el proveedor de red administrada Kaseya han causado importantes interrupciones y creado presión en Washington para frenar las amenazas.

Haron: como Avaddon. O tal vez no

El primer grupo se llama a sí mismo Haron. Una muestra del malware Haron fue la primera enviado a VirusTotal

el 19 de julio. Tres días después, la empresa de seguridad de Corea del Sur Laboratorio S2W discutió el grupo en un correo.

La mayor parte del sitio del grupo en la web oscura está protegido con contraseña por credenciales extremadamente débiles. Una vez pasada la página de inicio de sesión, hay una lista de supuestos objetivos, una transcripción del chat que no se puede mostrar en su totalidad y la explicación del grupo de su misión.

Como señaló S2W Lab, el diseño, la organización y la apariencia del sitio son casi idénticos a los de Avaddon, el grupo de ransomware que se apagó en junio después de enviar una clave maestra de descifrado a BleepingComputadora que las víctimas podrían utilizar para recuperar sus datos.

La similitud por sí sola no es especialmente significativa. Podría significar que el creador del sitio de Haron participó en la administración del sitio de Avaddon. O podría ser el creador del sitio Haron haciendo un headfake.

Una conexión entre Haron y Avaddon sería más convincente si hubiera superposiciones o similitudes en el código utilizado por los dos grupos. Hasta el momento no se han reportado tales enlaces.

El motor que impulsa el ransomware Haron, según S2W Lab, es Thanos, una pieza separada de ransomware que existe desde al menos 2019. Haron se desarrolló utilizando un Constructor de Thanos para el lenguaje de programación C #. Avaddon, por el contrario, fue escrito en C ++.

Jim Walter, investigador senior de amenazas de la firma de seguridad SentinelOne, dijo en un mensaje de texto que vio lo que parecen ser similitudes con Avaddon en un par de muestras que recientemente comenzó a analizar. Dijo que pronto sabría más.

En las sombras de REvil y DarkSide

El segundo recién llegado al ransomware se llama a sí mismo BlackMatter. Fue informado el martes por la firma de seguridad. Futuro grabado y su brazo de noticias El record.

Recorded Future, The Record y la firma de seguridad Flashpoint, que también cubrió la aparición de BlackMatter, han cuestionado si el grupo tiene conexiones con DarkSide o REvil. Esos dos grupos de ransomware se apagaron repentinamente después de que los ataques —contra el productor mundial de carne JBS y el proveedor de servicios de red administrada Kaseya en el caso de REvil y Colonial Pipeline en el caso de DarkSide— generaron más atención de la que querían los grupos. Más tarde, el Departamento de Justicia afirmó haber recuperado $ 2,3 millones del pago de ransomware de Colonial de $ 4,4 millones.

Pero una vez más, las similitudes en este punto son todas cosméticas e incluyen la redacción de una promesa, hecha por primera vez por DarkSide, de no apuntar a hospitales o infraestructura crítica. Dado el calor que el presidente de los Estados Unidos, Joe Biden, está tratando de poner en su contraparte rusa para tomar medidas enérgicas contra los grupos de ransomware que operan en Europa del Este, no sería sorprendente ver que todos los grupos siguen el ejemplo de DarkSide.

Nada de esto quiere decir que la especulación sea incorrecta, solo que en este momento hay poco más que corazonadas de apoyo.