BlackMatter和Haron，乍一聽，大家或許很陌生，其實(shí)可能是REvil和DarkSide的化身。

俗話說，“舊瓶裝新酒”，而在這里，是“新瓶裝舊酒”。他們都喜歡財(cái)力雄厚的“獵物”，并標(biāo)榜“道德”的化身。

[[414818]]

對(duì)于DarkSide或REvil勒索軟件組織而言，潛藏窩點(diǎn)的犯罪服務(wù)器已經(jīng)發(fā)現(xiàn)殆盡了。而事實(shí)證明，我們應(yīng)該重新認(rèn)識(shí)或者重新命名這兩個(gè)勒索軟件團(tuán)伙。

7月出現(xiàn)的第一個(gè)新的勒索團(tuán)伙是Haron，第二個(gè)則為BlackMatter。Ars Technica的Dan Goodin指出，背后潛藏的“分身”可能還有更多。

該勒索團(tuán)伙都緊盯財(cái)力雄厚的目標(biāo)，因?yàn)檫@些目標(biāo)可以支付數(shù)百萬(wàn)美元的贖金。他們也像DarkSide那樣以道德自我標(biāo)榜，用類似的語(yǔ)言聲稱保護(hù)醫(yī)院、關(guān)鍵基礎(chǔ)設(shè)施、非營(yíng)利組織等。

Haron及其“剪切黏貼”的贖金票據(jù)

Haron惡意軟件的第一個(gè)樣本于7 月19日提交給VirusTotal。三天后，韓國(guó)安全公司S2W Lab在一篇文章中報(bào)道了該組織，其中列出了Haron和Avaddon之間的相似之處。

Avaddon是另一個(gè)多產(chǎn)的勒索軟件即服務(wù) (RaaS) 提供商，它在6月份消失了，消失原因不同于繼Colonial Pipeline和其他大型勒索軟件攻擊之后的法律熱潮。當(dāng)時(shí)，Avaddon向BleepingComputer發(fā)布了其解密密鑰——總共2934個(gè)，每個(gè)密鑰分屬一個(gè)受害者。據(jù)執(zhí)法部門稱，Avaddon要求的平均勒索費(fèi)用約為40000美元，這意味著勒索軟件運(yùn)營(yíng)商及其附屬組織的退出失去了數(shù)百萬(wàn)美元。

卷土重來，再次作案?

S2W Lab在7月22日的帖子中表示，當(dāng)感染Haron勒索軟件時(shí)，“加密文件的擴(kuò)展名會(huì)更改為受害者的名字。” Haron也與Avaddon勒索軟件類似，因?yàn)槠溥\(yùn)營(yíng)商使用贖金票據(jù)，并運(yùn)營(yíng)自己的數(shù)據(jù)泄露網(wǎng)站。在其帖子中，S2W提供了來自兩個(gè)團(tuán)伙的贖金票據(jù)并排圖像。

如下圖所示，這兩個(gè)贖金票據(jù)連起來就像是經(jīng)過了“剪切黏貼”一樣。S2W Lab指出，主要區(qū)別在于Haron建議受害者使用特定的ID和密碼來登錄談判站點(diǎn)。

Avaddon和Haron的贖金記錄。資料來源：S2W 實(shí)驗(yàn)室

Haron和Avaddon之間還有許多其他相似之處，包括：

• 兩個(gè)談判網(wǎng)站上還有更多相似的措辭;
• 除了“Avaddon”的勒索軟件名稱被替換為“Haron”之外，談判網(wǎng)站的界面幾乎相同;
• 以前在俄羅斯開發(fā)者論壇上發(fā)布的用于聊天的相同開源JavaScript代碼塊;
• 兩個(gè)泄漏網(wǎng)站共享相同的結(jié)構(gòu)。

如果Haron是Avaddon的重生，“新瓶裝舊酒”則包括一個(gè)策略——通過設(shè)置下一次數(shù)據(jù)更新的時(shí)間來誘導(dǎo)談判。另一個(gè)區(qū)別是：Haron尚未發(fā)現(xiàn)三重威脅，至少現(xiàn)在還沒有。在三重威脅攻擊中，在提出贖金要求之前不僅數(shù)據(jù)在本地會(huì)被加密還會(huì)被泄露，而且頑固的受害者還會(huì)受到分布式拒絕服務(wù) (DDoS) 攻擊的威脅，直到他們?cè)敢饫U納贖金為止。

此外，Haron將談判時(shí)間縮短到6天，而Avaddon則有10天的談判時(shí)間。S2W實(shí)驗(yàn)室表示，另一個(gè)不同之處在于這兩種勒索軟件引擎的運(yùn)行， Haron運(yùn)行的是Thanos勒索軟件，一種“勒索軟件附屬計(jì)劃”，類似于勒索軟件即服務(wù) (RaaS)，自2019年以來一直在銷售，而Avaddon是用C++編寫的。

然而，所有的相似之處都不能證明Avaddon的“涅槃重生”。他們可以簡(jiǎn)單地指出來自 Avaddon的一個(gè)或多個(gè)威脅參與者正在重新啟動(dòng)，或者僅此而已。

根據(jù) S2W 的文章顯示：“根據(jù)我們的分析，很難得出Haron是Avaddon重新出現(xiàn)的結(jié)論。”該文章指出“Avaddon開發(fā)并使用了他們自己的基于C++的勒索軟件”，而Haron 發(fā)布的公開可用的Thanos勒索軟件使用的是C#。

SentinelOne的Jim Walter表明，他已經(jīng)看到了Avaddon和Haron樣本之間的相似之處，相信會(huì)有更多真相浮出水面。截至7月22日，Haron的泄密網(wǎng)站只披露了一名受害者。

BlackMatter新手作案

第二個(gè)勒索軟件新手自稱 BlackMatter。

7月27日，安全公司Recorded Future及其新聞部門The Record報(bào)道了有關(guān)新團(tuán)伙的消息，該公司認(rèn)為他們是DarkSide和REvil的繼任者。風(fēng)險(xiǎn)情報(bào)公司Flashpoint也發(fā)現(xiàn)了這個(gè)“新手”，并指出BlackMatter于7月19日在俄語(yǔ)地下論壇XSS和Exploit上注冊(cè)了一個(gè)賬戶，并將4個(gè)比特幣(截至周三下午約150000美元)存入其Expoit 托管賬戶。

在DarkSide攻擊Colonial Pipeline之后，這兩個(gè)論壇都在5月份禁止了勒索軟件討論。災(zāi)難性的停工引發(fā)了東海岸天然氣囤積，聯(lián)邦政府的緊急命令，在此之后，REvil對(duì)其合作伙伴網(wǎng)絡(luò)進(jìn)行了預(yù)審核，表示禁止攻擊任何政府、公眾、教育機(jī)構(gòu)或醫(yī)療保健組織。

提及DarkSide此次事件，REvil的支持者表示，該組織是“被迫引入”這些“重大新限制”，承諾違反新規(guī)則的勒索軟件附屬運(yùn)營(yíng)商將被踢出組織，并免費(fèi)提供解密工具。

Flashpoint指出，Exploit論壇上的大量存款表明BlackMatter問題的嚴(yán)重性。

7月21日，威脅行為者表示，該網(wǎng)絡(luò)正在尋求購(gòu)買美國(guó)、加拿大、澳大利亞和英國(guó)受影響網(wǎng)絡(luò)的訪問權(quán)限，可能是為了進(jìn)行勒索軟件操作。它提供高達(dá)10萬(wàn)美元的網(wǎng)絡(luò)訪問費(fèi)用，以及作為贖金的一部分。

高投入，釣大魚

BlackMatter正在投入大筆資金，因?yàn)樗?ldquo;釣大魚”。該組織表示，它正在尋找收入超過 1億美元的財(cái)力雄厚的組織，這樣的組織規(guī)模才有可能會(huì)支付大筆贖金。威脅行為者還要求目標(biāo)對(duì)象的網(wǎng)絡(luò)中擁有500至15000臺(tái)主機(jī)。這一要求適用于所有行業(yè)，除了醫(yī)療保健和政府組織。

“我們是道德吸血鬼”

以道德自我標(biāo)榜，特定行業(yè)組織絕不攻擊。The Record報(bào)告稱BlackMatter的數(shù)據(jù)泄漏網(wǎng)站目前是空的，這意味著BlackMatter僅在本周推出，尚未進(jìn)行任何網(wǎng)絡(luò)滲透攻擊。

BlackMatter泄漏站點(diǎn)的列出了一部分禁止訪問的目標(biāo)類型，包括：

• 醫(yī)院
• 關(guān)鍵基礎(chǔ)設(shè)施(核電站、發(fā)電廠、水處理設(shè)施)
• 石油和天然氣工業(yè)(管道、煉油廠)
• 國(guó)防工業(yè)
• 非營(yíng)利公司
• 政府部門

似乎有些許熟悉?在Colonial攻擊之后，DarkSide團(tuán)伙在數(shù)據(jù)泄露網(wǎng)站上給其他勒索團(tuán)伙似乎也帶上了“緊箍咒”。這些團(tuán)伙的附屬組織并一定會(huì)遵守這些，但是BlackMatter做出承諾，如果這些行業(yè)的受害者受到攻擊，勒索軟件運(yùn)營(yíng)商將免費(fèi)解密他們的數(shù)據(jù)。

讓勒索行為“合法化”

提供威脅情報(bào)和贖金談判GroupSense情報(bào)服務(wù)副總裁Mike Fowler一直在關(guān)注 BlackMatter。他在7月28日告訴Threatpost，最近，Hive、Grief和最近的BlackMatter等新興RaaS卡特爾使用的戰(zhàn)術(shù)、技術(shù)和流程 (TTP)發(fā)生了演變，這種演變讓人想起由2020年Maze主導(dǎo)的“雙重勒索”。

Fowler在一封電子郵件中說：“GroupSense目睹了RaaS卡特爾內(nèi)部對(duì)目標(biāo)用戶地位和品牌知名度的預(yù)期爭(zhēng)奪，BlackMatter在前兩個(gè)網(wǎng)絡(luò)犯罪論壇上的帳戶注冊(cè)清楚地證明了這一點(diǎn)。他們?cè)诙砹_斯最大的網(wǎng)絡(luò)犯罪論壇Exploit上將4個(gè)比特幣存入他們的托管賬戶，這顯然是為了獲得合法性。”

瞄準(zhǔn)目標(biāo)，一擊即中

Digital Shadows的Sean Nikkel在7月28日表示，勒索團(tuán)伙選擇攻擊目標(biāo)時(shí)也在謹(jǐn)慎地做選擇，并展開“盡職調(diào)查”。

Nikkel通過電子郵件說：“我們一次又一次地發(fā)現(xiàn)他們對(duì)目標(biāo)組織內(nèi)的關(guān)鍵人物、收入、規(guī)模甚至客戶都有一些了解，因此大型游戲狩獵的想法似乎與觀察到的勒索軟件趨勢(shì)一致。”

他稱勒索軟件對(duì)部分行業(yè)的美德信號(hào)和承諾是“有趣的轉(zhuǎn)折”。

Nikkel補(bǔ)充道，“雖然REvil之前曾公開表示一切都是公平的，但如果他們真的重生了，或許這會(huì)讓他們改變主意。”

“有趣”是描述它的一種方式，另一種方式則是“如吸血寄生蟲般吱吱作響”，正如Ars報(bào)道的評(píng)論者所說：

GroupSense的Fowler也沒有對(duì)BlackMatter不傷害某些組織的“小指承諾”印象深刻。他說這聽起來特別空洞，“因?yàn)殡S著#2 RaaS逐漸消失，REvil的地位越來越突出(可以推翻原來的論調(diào))。”從長(zhǎng)遠(yuǎn)來看，雖然BlackMatter是“當(dāng)今的風(fēng)尚”，但Fowler 表示，其他RaaS服務(wù)，如Conti、Grief、Hive和LockBit，“同樣是一個(gè)巨大的威脅”。

時(shí)間會(huì)證明：下一個(gè)勒索軟件是Phoenix還是New Ratbag?

New Net Technologies (NNT) 負(fù)責(zé)安全研究的全球副總裁Dirk Schrader7月28日告訴 Threatpost，沒有看到REvil或DarkSide重新出現(xiàn)的明確跡象，任何人都難以下論斷。他在一封電子郵件中補(bǔ)充說，REvil很有可能主動(dòng)決定“取消一切并重新出現(xiàn)，只是為了讓跟蹤和追蹤變得更加困難”。

與此同時(shí)，Schrader預(yù)測(cè)，當(dāng)前這種狀況很難改變且將持續(xù)一段時(shí)間。實(shí)際上，威脅行為者正在利用工具改進(jìn)他們的方法，以查看具有“更高動(dòng)機(jī)”支付贖金的目標(biāo)，例如Kaseya和SolarWinds。

Schrader 通過電子郵件表示：“勒索軟件組織將繼續(xù)尋找可能有更高動(dòng)機(jī)支付的攻擊媒介，這是該業(yè)務(wù)的下一個(gè)發(fā)展方向，我們已經(jīng)看到了早期效果。Kaseya、SolarWinds，這些工具承諾可以訪問高價(jià)值資產(chǎn)，而組織的收入來源和聲譽(yù)取決于這些資產(chǎn)。”Schrader認(rèn)為VMware最近添加的EXSi服務(wù)器的加密功能是“未來的預(yù)兆”，并指出最近CISA關(guān)于最常被利用的漏洞警報(bào)，其中包括關(guān)于CVE-2021-21985的警告：關(guān)鍵的遠(yuǎn)程代碼執(zhí)行( RCE) VMware vCenter Server和 VMware Cloud Foundation中的漏洞。

Schrader 提出：“從本質(zhì)上講，隨著時(shí)間的推移，不支付贖金是唯一可以根除勒索軟件的方法。因此，為了做到這一點(diǎn)，公司必須最大限度地減少和保護(hù)他們的攻擊面，加強(qiáng)他們的系統(tǒng)和基礎(chǔ)設(shè)施，正確管理現(xiàn)有帳戶并刪除舊帳戶。根據(jù)風(fēng)險(xiǎn)修補(bǔ)漏洞，受到攻擊時(shí)具備彈性網(wǎng)絡(luò)的運(yùn)行方式。”

參考來源：BlackMatter & Haron: Evil Ransomware Newborns or Rebirths