新的勒索软件团伙 — Haron和BlackMatter开始行动
网络威胁格局不断变化,最近两个名为BlackMatter和Haron的新勒索软件即服务 (RaaS) 运营成为头条新闻。
BlackMatter
BlackMatter集团的运营者在他们的公开博客中表示:“该项目将DarkSide、REvil和LockBit的最佳特性整合到自身中,并承诺不会打击医疗、关键基础设施、石油和天然气、国防、非营利组织和政府部门等多个行业的组织。”
据Flashpoint称,BlackMatter威胁行为者于7月19日在俄语论坛XSS和Exploit上注册了一个帐户,随后迅速发布了一篇帖子,称他们正在寻求购买对受感染企业网络的访问权限,该网络包含500至15,000台主机美国、加拿大、澳大利亚和英国,年收入超过1 亿美元,可能暗示接下来会有大规模勒索软件操作。
“攻击者将4BTC(约 150,000 美元)存入他们的托管账户。论坛上的大量存款表明威胁行为者的严重性,”Flashpoint 研究人员在一份报告中说。
7月27日,该组织据称已开始招募合作伙伴和附属机构,他们声称正在寻找熟悉 Windows和Linux系统的有经验的渗透测试人员以及初始访问供应商,他们要么出售他们的访问权限,要么为一定比例的利润工作。
上个月,企业安全公司Proofpoint披露,越来越多的勒索软件团伙从独立的网络犯罪团伙那里购买访问权限,这些团伙潜入主要目标,然后为他们提供一个切入点,部署数据盗窃和加密操作,以换取非法所得的一部分收益。
BlackMatter的出现恰逢DarkSide和REvil在Colonial Pipeline、JBS和Kaseya受到高度宣传的勒索软件事件之后的隐匿阶段,这也让人禁不住猜想些组织最终可能会以新身份重出现。
Haron
韩国安全公司首次描述了Haron恶意软件,研究人员发现了Haron小组和Avaddon行动之间的许多相似之处,包括:
赎金票据的相似性;
谈判地点的相似性;
泄漏点的相似性;
这种情况表明Haron可能是重生的Avaddon。Avaddon和其他RaaS项目一样,由于担心联邦当局对DarkSide发起的科洛尼管道勒索软件攻击的反应,在6月份消失了。
该网络犯罪组织关闭了其业务,并向BleepingComputer网站提供了解密密钥。该组织还关闭了服务器并删除了黑客论坛上的资料,并关闭了他们的泄密网站。然而,专家们注意到,运行这两种勒索软件的引擎是不同的,Haron是基于Thanos勒索软件,这是一种RaaS,自2019年以来一直在地下网络犯罪中出售。
哈伦勒索软件于2021年7月首次被发现。当系统感染此勒索软件时,加密文件的扩展名会被更改为受害者的名字。犯罪分子使用勒索信并运营自己的泄露网站。
不断出现的新型恶意软件告诉我们,网络空间的“战争”已非常激烈。看似安全稳定的软件系统很可能潜藏危机。每每忽视掉的某个安全漏洞,给企业或组织带来的损失可能是难以估量的。
因此,在网络空间风险日益加剧的今天,企业和个人都应打起十二分精神,增强对企业的安全管控机制、强化网络安全意识,特别是在软件开发过程中,对代码质量的把握显得尤为重要,根据国家权威数据显示(数据来源--美国国家标准与技术局(NIST)、国家漏洞数据库(NVD)):90%以上的网络安全问题是由软件自身的安全漏洞被利用导致的!传统的“老三样”(杀毒软件、防火墙、入侵检测系统)已难以应对不断进化的网络攻击,因此在软件开发时不断检测并修复代码缺陷,是减少数据丢失的重要手段!
参读链接:
https://thehackernews.com/2021/07/new-ransomware-gangs-haron-and.html