Computer Security Haron y BlackMatter: ¿nuevos jugadores o ciber pandillas...

Haron y BlackMatter: ¿nuevos jugadores o ciber pandillas bien olvidadas?

malware chantajear ransomware Recientemente, han aparecido en el horizonte un par de nuevos grupos de ciberdelincuentes. Apodados BlackMatter y Haron, respectivamente, han sido lo suficientemente cortos como para parecer aún envueltos en misterio, y lo suficiente como para insinuar a los investigadores de seguridad sobre posibles conexiones con jugadores mayores como DarkSide, REvil o Avaddon.

Apuntando a objetivos similares

Es demasiado pronto para llegar a una conclusión firme sobre si las dos nuevas bandas son los buenos viejos delincuentes con una nueva capa de pintura. Sin embargo, una cosa parece tan clara como la luz del día: ambos grupos apuntan a organizaciones gubernamentales y no gubernamentales ricas, entidades que no tendrían problemas para gastar millones de dólares en pagos de rescate potencialmente si cayeran bajo un ataque de ransomware. Sin embargo, esa no es la única característica común presente en Haron y BlackMatter, por un lado, y DarkSide y REvil por el otro. Para empezar, hay similitudes sorprendentes en su código y nota de rescate.

Otras características comunes ...

Un vistazo a la nota de rescate de Haron sugiere que este último puede haber hecho un gran préstamo de Avaddon, un grupo reciente de Ransomware-as-a-Service (RaaS) que solía extorsionar un promedio de $ 40 mil por víctima, antes de desaparecer en el aire por última vez. mes de repente. Antes de disolverse, la banda cibernética de Avadon había alcanzado hasta 2.934 objetivos, según se informa, si se tiene en cuenta el número de sus claves de descifrado recientemente publicadas. No es de extrañar que ambas bandas compartan las mismas partes de código JS aquí y allá.

Características no tan comunes

Aunque las notas de Haron y Avaddon parecen idénticas cuando se comparan una al lado de la otra, hay una diferencia notable cuando se trata del patrón de nombre aplicado al cifrado de archivos. Tal como están las cosas, Haron adapta cada extensión al nombre de cada parte infectada. Además, Haron basado en C # no desencadenaría una ola de ataques de denegación de servicio distribuido (DDoS) contra sus objetivos que no pagan. Al mismo tiempo, el Avaddon compilado en C ++ a menudo se ha involucrado en jugadas de triple amenaza antes. Por último, pero no menos importante, las víctimas de Haron tienen seis días para pagar el rescate, a diferencia del plazo considerablemente más largo de 10 días de Avaddon.

BlackMatter - ¿Un descendiente de REvil y DarkSide?

BlackMatter es un nuevo reproductor de malware que se compromete a atacar a cualquier entidad (excepto las organizaciones de infraestructura crítica, gubernamentales y de salud) cuyos ingresos anuales superen los $ 100 millones y cuyas redes tengan entre 500 y 15,000 hosts. Según los informes, los delincuentes detrás de BlackMatter están listos para separarse con cientos de miles de dólares para abrirse camino hacia redes defectuosas a ambos lados del Atlántico, también. La misión de BlackMatter de no golpear oleoductos, centrales eléctricas, ONG, hospitales, instalaciones de tratamiento de agua y otros objetos de infraestructura crítica implica que los actores a cargo están decididos a no repetir la debacle del oleoducto colonial. Ese movimiento también sugiere que han adoptado un enfoque selectivo al elaborar la lista de objetivos potenciales, en línea con las últimas tendencias de ransomware.

Aún es temprano para un veredicto definitivo

Aunque los recién llegados Haron y BlackMatter parecen tener un parecido considerable con pandillas más antiguas como REVil, DarkSide y Avaddon, los investigadores de seguridad aún tienen que reunir pruebas suficientes para detectar una conexión directa. Las primeras pueden convertirse en versiones refinadas de las últimas o tal vez en pandillas completamente nuevas, sujetas a análisis e investigaciones adicionales.

Cargando...