Haron 和 BlackMatter 是破坏勒索软件派对的最新组织

到目前为止，7 月至少迎来了两个新的勒索软件组织。或者，也许他们是正在经历品牌重塑的旧人。研究人员正在研究几种不同的理论。这两个团体都表示，他们的目标是大游戏目标，即有财力支付数百万美元赎金的公司或其他大型企业。这些新增功能是在最近对石油管道运营商 Colonial Pipeline、肉类包装商 JBS SA 和托管网络提供商 Kaseya 的勒索软件入侵造成重大中断并在华盛顿施加压力以遏制威胁之际出现的。第一组称自己为哈伦。 Haron 恶意软件的样本于 7 月 19 日首次提交给 VirusTotal。三天后，韩国安全公司 S2W Lab 在一篇帖子中讨论了该组织。该组织在暗网上的大部分站点都受到极弱凭据的密码保护。在登录页面之后，有一个涉嫌目标的列表，一个不适合完整显示的聊天记录，以及该组织对其任务的解释。正如 S2W 实验室所指出的那样，该站​​点的布局、组织和外观几乎与 Avaddon 的站点相同，Avaddon 是勒索软件组织，该组织在向 BleepingComputer 发送主解密密钥后，于 6 月关闭，受害者可以使用该密钥恢复数据。这种相似性本身并不是特别有意义。这可能意味着 Haron 站点的创建者参与了 Avaddon 站点的管理。或者它可能是 Haron 网站的创建者做了一个假头。如果两个小组使用的代码存在重叠或相似之处，那么 Haron 和 Avaddon 之间的联系会更有说服力。到目前为止，还没有报告此类链接。根据 S2W Lab 的说法，驱动 Haron 勒索软件的引擎是 Thanos，这是一个独立的勒索软件，至少自 2019 年以来一直存在。Haron 是使用最近发布的用于 C# 编程语言的 Thanos 构建器开发的。相比之下，Avaddon 是用 C++ 编写的。

安全公司 SentinelOne 的高级威胁研究员 Jim Walter 在一条短信中说，他在最近开始分析的几个样本中发现了与 Avaddon 相似的地方。他说他很快就会知道更多。第二个勒索软件新人称自己为 BlackMatter。周二，安全公司 Recorded Future 及其新闻部门 The Record 报道了这一消息。 Recorded Future、The Record 和安全公司 Flashpoint 也曾报道 BlackMatter 的出现，他们质疑该组织是否与 DarkSide 或 REvil 有联系。这两个勒索软件组织在受到攻击（在 REvil 的案例中针对全球肉类生产商 JBS 和托管网络服务提供商 Kaseya 以及​​在 DarkSide 的案例中针对 Colonial Pipeline 的攻击后突然消失）引起了超出组织预期的关注。司法部后来声称已从 Colonial 支付的 440 万美元勒索软件款项中追回 230 万美元。但再一次，在这一点上的相似之处都是表面上的，包括最初由 DarkSide 做出的承诺的措辞，而不是针对医院或关键基础设施。鉴于美国总统乔拜登正试图让他的俄罗斯总统打击在东欧运营的勒索软件组织的热度，看到所有组织都效仿 DarkSide 的做法也就不足为奇了。这并不是说猜测是错误的，只是目前，只有预感支持。