压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

BlackMatter和Haron，乍一聽，大家或許很陌生，其實可能是REvil和DarkSide的化身。

俗話說，“舊瓶裝新酒”，而在這里，是“新瓶裝舊酒”。作為臭名昭著的勒索團(tuán)伙，他們都傾向于將財力雄厚的企業(yè)或機構(gòu)視為“獵物”，并將自己標(biāo)榜為“道德”的化身。

對于DarkSide或REvil勒索軟件組織而言，潛藏窩點的犯罪服務(wù)器已經(jīng)被打擊破壞了。而事實證明，我們應(yīng)該重新認(rèn)識或者重新命名這兩個勒索軟件團(tuán)伙。

7月出現(xiàn)的第一個新的勒索團(tuán)伙是Haron，第二個則為BlackMatter。Ars Technica的Dan Goodin指出，背后潛藏的“分身”可能還有更多。

該勒索團(tuán)伙都緊盯財力雄厚的目標(biāo)，因為這些目標(biāo)可以支付數(shù)百萬美元的贖金。他們也像DarkSide那樣以道德自我標(biāo)榜，用類似的語言聲稱保護(hù)醫(yī)院、關(guān)鍵基礎(chǔ)設(shè)施、非營利組織等。

Haron及其“剪切黏貼”的贖金票據(jù)

Haron惡意軟件的第一個樣本于7 月19日提交給VirusTotal。三天后，韓國安全公司S2W Lab在一篇文章中報道了該組織，其中列出了Haron和Avaddon之間的相似之處。

Avaddon是另一個多產(chǎn)的勒索軟件即服務(wù) (RaaS) 提供商，它在6月份消失了，消失原因不同于繼Colonial Pipeline和其他大型勒索軟件攻擊之后的法律熱潮。當(dāng)時，Avaddon向BleepingComputer發(fā)布了其解密密鑰——總共2934個，每個密鑰分屬一個受害者。據(jù)執(zhí)法部門稱，Avaddon要求的平均勒索費用約為40000美元，這意味著勒索軟件運營商及其附屬組織的退出失去了數(shù)百萬美元。

卷土重來，再次作案？

S2W Lab在7月22日的帖子中表示，當(dāng)感染Haron勒索軟件時，“加密文件的擴(kuò)展名會更改為受害者的名字。” Haron也與Avaddon勒索軟件類似，因為其運營商使用贖金票據(jù)，并運營自己的數(shù)據(jù)泄露網(wǎng)站。在其帖子中，S2W提供了來自兩個團(tuán)伙的贖金票據(jù)并排圖像。

如下圖所示，這兩個贖金票據(jù)連起來就像是經(jīng)過了“剪切黏貼”一樣。S2W Lab指出，主要區(qū)別在于Haron建議受害者使用特定的ID和密碼來登錄談判站點。

Avaddon和Haron的贖金記錄。資料來源：S2W 實驗室

Haron和Avaddon之間還有許多其他相似之處，包括：

1、兩個談判網(wǎng)站上還有更多相似的措辭；

2、除了“Avaddon”的勒索軟件名稱被替換為“Haron”之外，談判網(wǎng)站的界面幾乎相同；

3、以前在俄羅斯開發(fā)者論壇上發(fā)布的用于聊天的相同開源JavaScript代碼塊；

4、兩個泄漏網(wǎng)站共享相同的結(jié)構(gòu)。

如果Haron是Avaddon的重生，“新瓶裝舊酒”則包括一個策略——通過設(shè)置下一次數(shù)據(jù)更新的時間來誘導(dǎo)談判。另一個區(qū)別是：Haron尚未發(fā)現(xiàn)三重威脅，至少現(xiàn)在還沒有。在三重威脅攻擊中，在提出贖金要求之前不僅數(shù)據(jù)在本地會被加密還會被泄露，而且頑固的受害者還會受到分布式拒絕服務(wù) (DDoS) 攻擊的威脅，直到他們愿意繳納贖金為止。

此外，Haron將談判時間縮短到6天，而Avaddon則有10天的談判時間。S2W實驗室表示，另一個不同之處在于這兩種勒索軟件引擎的運行， Haron運行的是Thanos勒索軟件，一種“勒索軟件附屬計劃”，類似于勒索軟件即服務(wù) (RaaS)，自2019年以來一直在銷售，而Avaddon是用C++編寫的。

然而，所有的相似之處都不能證明Avaddon的“涅槃重生”。他們可以簡單地指出來自 Avaddon的一個或多個威脅參與者正在重新啟動，或者僅此而已。

根據(jù) S2W 的文章顯示：“根據(jù)我們的分析，很難得出Haron是Avaddon重新出現(xiàn)的結(jié)論。”該文章指出“Avaddon開發(fā)并使用了他們自己的基于C++的勒索軟件”，而Haron 發(fā)布的公開可用的Thanos勒索軟件使用的是C#。

SentinelOne的Jim Walter表明，他已經(jīng)看到了Avaddon和Haron樣本之間的相似之處，相信會有更多真相浮出水面。截至7月22日，Haron的泄密網(wǎng)站只披露了一名受害者。

BlackMatter新手作案

第二個勒索軟件新手自稱 BlackMatter。

7月27日，安全公司Recorded Future及其新聞部門The Record報道了有關(guān)新團(tuán)伙的消息，該公司認(rèn)為他們是DarkSide和REvil的繼任者。風(fēng)險情報公司Flashpoint也發(fā)現(xiàn)了這個“新手”，并指出BlackMatter于7月19日在俄語地下論壇XSS和Exploit上注冊了一個賬戶，并將4個比特幣（截至周三下午約150000美元）存入其Expoit 托管賬戶。

在DarkSide攻擊Colonial Pipeline之后，這兩個論壇都在5月份禁止了勒索軟件討論。災(zāi)難性的停工引發(fā)了東海岸天然氣囤積，聯(lián)邦政府的緊急命令，在此之后，REvil對其合作伙伴網(wǎng)絡(luò)進(jìn)行了預(yù)審核，表示禁止攻擊任何政府、公眾、教育機構(gòu)或醫(yī)療保健組織。

提及DarkSide此次事件，REvil的支持者表示，該組織是“被迫引入”這些“重大新限制”，承諾違反新規(guī)則的勒索軟件附屬運營商將被踢出組織，并免費提供解密工具。

Flashpoint指出，Exploit論壇上的大量存款表明BlackMatter問題的嚴(yán)重性。

7月21日，威脅行為者表示，該網(wǎng)絡(luò)正在尋求購買美國、加拿大、澳大利亞和英國受影響網(wǎng)絡(luò)的訪問權(quán)限，可能是為了進(jìn)行勒索軟件操作。它提供高達(dá)10萬美元的網(wǎng)絡(luò)訪問費用，以及作為贖金的一部分。

高投入，釣大魚

BlackMatter正在投入大筆資金，因為它在“釣大魚”。該組織表示，它正在尋找收入超過 1億美元的財力雄厚的組織，這樣的組織規(guī)模才有可能會支付大筆贖金。威脅行為者還要求目標(biāo)對象的網(wǎng)絡(luò)中擁有500至15000臺主機。這一要求適用于所有行業(yè)，除了醫(yī)療保健和政府組織。

“我們是道德吸血鬼”

以道德自我標(biāo)榜，特定行業(yè)組織絕不攻擊。The Record報告稱BlackMatter的數(shù)據(jù)泄漏網(wǎng)站目前是空的，這意味著BlackMatter僅在本周推出，尚未進(jìn)行任何網(wǎng)絡(luò)滲透攻擊。

BlackMatter泄漏站點的列出了一部分禁止訪問的目標(biāo)類型，包括：

醫(yī)院

關(guān)鍵基礎(chǔ)設(shè)施（核電站、發(fā)電廠、水處理設(shè)施）

石油和天然氣工業(yè)（管道、煉油廠）

國防工業(yè)

非營利公司

政府部門

似乎有些許熟悉？在Colonial攻擊之后，DarkSide團(tuán)伙在數(shù)據(jù)泄露網(wǎng)站上給其他勒索團(tuán)伙似乎也帶上了“緊箍咒”。這些團(tuán)伙的附屬組織并一定會遵守這些，但是BlackMatter做出承諾，如果這些行業(yè)的受害者受到攻擊，勒索軟件運營商將免費解密他們的數(shù)據(jù)。

讓勒索行為“合法化”

提供威脅情報和贖金談判GroupSense情報服務(wù)副總裁Mike Fowler一直在關(guān)注 BlackMatter。他在7月28日告訴Threatpost，最近，Hive、Grief和最近的BlackMatter等新興RaaS卡特爾使用的戰(zhàn)術(shù)、技術(shù)和流程 (TTP)發(fā)生了演變，這種演變讓人想起由2020年Maze主導(dǎo)的“雙重勒索”。

Fowler在一封電子郵件中說：“GroupSense目睹了RaaS卡特爾內(nèi)部對目標(biāo)用戶地位和品牌知名度的預(yù)期爭奪，BlackMatter在前兩個網(wǎng)絡(luò)犯罪論壇上的帳戶注冊清楚地證明了這一點。他們在俄羅斯最大的網(wǎng)絡(luò)犯罪論壇Exploit上將4個比特幣存入他們的托管賬戶，這顯然是為了獲得合法性。”

瞄準(zhǔn)目標(biāo)，一擊即中

Digital Shadows的Sean Nikkel在7月28日表示，勒索團(tuán)伙選擇攻擊目標(biāo)時也在謹(jǐn)慎地做選擇，并展開“盡職調(diào)查”。

Nikkel通過電子郵件說：“我們一次又一次地發(fā)現(xiàn)他們對目標(biāo)組織內(nèi)的關(guān)鍵人物、收入、規(guī)模甚至客戶都有一些了解，因此大型游戲狩獵的想法似乎與觀察到的勒索軟件趨勢一致。”

他稱勒索軟件對部分行業(yè)的美德信號和承諾是“有趣的轉(zhuǎn)折”。

Nikkel補充道，“雖然REvil之前曾公開表示一切都是公平的，但如果他們真的重生了，或許這會讓他們改變主意。”

“有趣”是描述它的一種方式，另一種方式則是“如吸血寄生蟲般吱吱作響”，正如Ars報道的評論者所說：

GroupSense的Fowler也沒有被BlackMatter不傷害某些組織的承諾所打動。他說這聽起來特別空洞，“因為隨著#2 RaaS逐漸消失，REvil的地位越來越突出（可以推翻原來的論調(diào)）。”從長遠(yuǎn)來看，雖然BlackMatter是“當(dāng)今的風(fēng)尚”，但Fowler 表示，其他RaaS服務(wù)，如Conti、Grief、Hive和LockBit，“同樣是一個巨大的威脅”。

時間會證明：下一個勒索軟件是Phoenix還是New Ratbag？

New Net Technologies (NNT) 負(fù)責(zé)安全研究的全球副總裁Dirk Schrader7月28日告訴 Threatpost，沒有看到REvil或DarkSide重新出現(xiàn)的明確跡象，任何人都難以下論斷。他在一封電子郵件中補充說，REvil很有可能主動決定“取消一切并重新出現(xiàn)，只是為了讓跟蹤和追蹤變得更加困難”。

與此同時，Schrader預(yù)測，當(dāng)前這種狀況很難改變且將持續(xù)一段時間。實際上，威脅行為者正在利用工具改進(jìn)他們的方法，以查看具有“更高動機”支付贖金的目標(biāo)，例如Kaseya和SolarWinds。

Schrader 通過電子郵件表示：“勒索軟件組織將繼續(xù)尋找可能有更高動機支付的攻擊媒介，這是該業(yè)務(wù)的下一個發(fā)展方向，我們已經(jīng)看到了早期效果。Kaseya、SolarWinds，這些工具承諾可以訪問高價值資產(chǎn)，而組織的收入來源和聲譽取決于這些資產(chǎn)。”Schrader認(rèn)為VMware最近添加的EXSi服務(wù)器的加密功能是“未來的預(yù)兆”，并指出最近CISA關(guān)于最常被利用的漏洞警報，其中包括關(guān)于CVE-2021-21985的警告：關(guān)鍵的遠(yuǎn)程代碼執(zhí)行（ RCE) VMware vCenter Server和 VMware Cloud Foundation中的漏洞。

Schrader 提出：“從本質(zhì)上講，隨著時間的推移，不支付贖金是唯一可以根除勒索軟件的方法。因此，為了做到這一點，公司必須最大限度地減少他們的攻擊面和保護(hù)他們的風(fēng)險暴露面，加強他們的系統(tǒng)和基礎(chǔ)設(shè)施，正確管理現(xiàn)有帳戶并刪除舊帳戶。根據(jù)風(fēng)險修補漏洞，受到攻擊時具備彈性網(wǎng)絡(luò)的運行方式。”

參考來源

BlackMatter & Haron: Evil Ransomware Newborns or Rebirths