Haron et BlackMatter – Nouveaux joueurs ou cyber-gangs bien oubliés ?
Quelques nouveaux groupes de cybercriminels sont récemment apparus à l'horizon. Surnommés respectivement BlackMatter et Haron, ils ont été assez courts pour avoir l'air encore entourés de mystère, et assez longtemps pour faire allusion aux chercheurs en sécurité sur les connexions possibles avec des joueurs plus anciens tels que DarkSide, REvil ou Avaddon.
Table des matières
Pointage sur des cibles similaires
Il est trop tôt pour conclure avec certitude si les deux nouveaux gangs sont les bons vieux escrocs avec une nouvelle couche de peinture. Cependant, une chose semble aussi claire que la lumière du jour – les deux groupes visent des organisations gouvernementales et non gouvernementales riches – des entités qui n'auraient aucun problème à dépenser des millions de dollars en paiements de rançon potentiellement, étaient là pour faire l'objet d'une attaque de ransomware. Cependant, ce n'est de loin pas la seule caractéristique commune présente aux deux, Haron et BlackMatter, d'une part, et DarkSide et REvil de l'autre. Pour commencer, il existe des similitudes frappantes dans leur code et leur demande de rançon.
Autres caractéristiques communes…
Un coup d'œil à la demande de rançon de Haron suggère que ce dernier a peut-être fait de gros emprunts à Avaddon – un groupe récent de Ransomware-as-a-Service (RaaS) qui extorquait en moyenne 40 000 $ par victime, avant de disparaître dans les airs pour la dernière fois. mois d'un coup. Avant de se dissoudre, le cybergang Avadon aurait atteint jusqu'à 2 934 cibles, si l'on se fie au nombre de leurs clés de déchiffrement récemment publiées. Que les deux bandes partagent les mêmes portions de code JS ici et là n'est pas non plus surprenant.
Caractéristiques pas si communes
Même si les notes de Haron et d'Avaddon semblent identiques lorsqu'elles sont comparées côte à côte, il existe une différence notable en ce qui concerne le modèle de nom appliqué lors du cryptage des fichiers. En l'état, Haron adapte chaque extension au nom de chaque partie infectée. De plus, Haron basé sur C# ne déclencherait pas une vague d'attaques par déni de service distribué (DDoS) sur ses cibles non payantes. Dans le même temps, Avaddon compilé en C++ s'est souvent engagé dans de telles pièces de triple menace auparavant. Enfin, les victimes de Haron ont six jours pour payer la rançon, contrairement au délai de 10 jours considérablement plus long d'Avaddon.
BlackMatter – Un descendant de REvil et DarkSide ?
BlackMatter est un nouvel acteur de malware qui s'engage à attaquer toutes les entités (à l'exception des organisations de soins de santé, gouvernementales et d'infrastructures critiques) dont le chiffre d'affaires annuel dépasse 100 millions de dollars et dont les réseaux comptent entre 500 et 15 000 hôtes. Les escrocs derrière BlackMatter seraient également prêts à se séparer de centaines de milliers de dollars pour se frayer un chemin vers des réseaux défectueux de chaque côté de l'Atlantique. La mission de BlackMatter de ne pas frapper les pipelines, les centrales électriques, les ONG, les hôpitaux, les installations de traitement de l'eau et d'autres objets d'infrastructure critiques implique que les acteurs en charge sont déterminés à ne pas répéter la débâcle du pipeline colonial. Cette décision suggère également qu'ils ont adopté une approche sélective lors de l'établissement de la liste des cibles potentielles, conformément aux dernières tendances en matière de ransomware.
Encore tôt pour un verdict définitif
Bien que les nouveaux arrivants Haron et BlackMatter semblent ressembler beaucoup à des gangs plus anciens comme REVil, DarkSide et Avaddon, les chercheurs en sécurité n'ont pas encore rassemblé suffisamment de preuves pour détecter une connexion directe. Les premiers peuvent devenir des versions raffinées des seconds ou peut-être des gangs entièrement nouveaux – sous réserve d'analyses et d'enquêtes supplémentaires.