Haron y BlackMatter son los últimos grupos en acabar con la fiesta del ransomware


Haron y BlackMatter son los últimos grupos en acabar con la fiesta del ransomware

imágenes falsas

Julio ha introducido al menos dos nuevos grupos de ransomware hasta ahora. O tal vez son los viejos los que están cambiando de nombre. Los investigadores están a punto de acabar con varias teorías.

Ambos grupos dicen que están apuntando a grandes objetivos de juego, es decir, corporaciones u otras grandes corporaciones que tienen los bolsillos para pagar millones en rescate. Las adiciones se deben a que los recientes allanamientos de ransomware por parte del operador del oleoducto Colonial Pipeline, la empacadora de carne JBS SA y el proveedor de red administrada Kaseya causaron importantes interrupciones y presionaron a Washington para contener las amenazas.

Haron: Como Avaddon. O tal vez no.

El primer grupo se llama Haron. Una muestra del malware Haron se envió por primera vez a VirusTotal el 19 de julio. Tres días después, la empresa de seguridad surcoreana S2W Lab habló sobre el grupo en una publicación.

La mayoría de los sitios web del grupo en la web oscura están protegidos con contraseña por datos de acceso extremadamente débiles. Detrás de la página de inicio de sesión hay una lista de supuestos destinos, una transcripción del chat que no se puede mostrar por completo y la explicación del grupo de su misión.

Como señaló S2W Lab, el diseño, la organización y la apariencia del sitio son casi idénticos a los de Avaddon, el grupo de ransomware que se apagó en junio después de enviar una clave de descifrado maestra a BleepingComputer que las víctimas usan para extraer datos de Recover.

La similitud por sí sola no es particularmente significativa. Podría significar que el creador del sitio de Haron estuvo involucrado en la administración del sitio de Avaddon. O podría ser el creador del sitio de Haron haciendo una falsificación de cabeza.

Una conexión entre Haron y Avaddon sería más convincente si hubiera superposiciones o similitudes en el código de los dos grupos. Hasta el momento no se ha informado de tales vínculos.

Según S2W Lab, Thanos es el motor que impulsa el ransomware Haron, un ransomware separado que existe desde al menos 2019. Haron se desarrolló utilizando un constructor Thanos recientemente lanzado para el lenguaje de programación C #. Avaddon, por otro lado, fue escrito en C ++.

Jim Walter, investigador senior de amenazas de la firma de seguridad SentinelOne, dijo en un mensaje de texto que aparentemente encontró similitudes con Avaddon en algunas muestras que comenzó a analizar recientemente. Dijo que pronto sabría más.

A la sombra de REvil y DarkSide

El segundo recién llegado al ransomware se llama BlackMatter. Esto fue informado el martes por la firma de seguridad Recorded Future y su brazo de noticias The Record.

Recorded Future, The Record y la firma de seguridad Flashpoint, que también cubrió la creación de BlackMatter, han cuestionado si el grupo tiene vínculos con DarkSide o REvil. Estos dos grupos de ransomware se apagaron repentinamente después de que los ataques, contra el productor mundial de carne JBS y el proveedor de servicios de red administrados Kaseya en el caso de REvil y Colonial Pipeline en el caso de DarkSide, atrajeron más atención de la que querían los grupos. Más tarde, el Departamento de Justicia afirmó que retiró $ 2.3 millones del pago de ransomware de $ 4.4 millones de Colonial.

Pero aquí, también, las similitudes en este punto son todas de naturaleza cosmética e incluyen la redacción de una promesa hecha por primera vez por DarkSide de no apuntar a hospitales o infraestructuras críticas. Dado el calor que el presidente estadounidense Joe Biden está tratando de incitar a su homólogo ruso a tomar medidas enérgicas contra los grupos de ransomware que operan en Europa del Este, no sería sorprendente que todos los grupos sigan el ejemplo de DarkSide.

Nada de esto quiere decir que la especulación esté mal, solo que hay poco más que un indicio de apoyo en este momento.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *