BlackMatter和Haron，乍一聽，大家或許很陌生，其實可能是REvil和DarkSide的化身。

俗話說，“舊瓶裝新酒”，而在這里，是“新瓶裝舊酒”。他們都喜歡財力雄厚的“獵物”，并標榜“道德”的化身。

[[414818]]

對于DarkSide或REvil勒索軟件組織而言，潛藏窩點的犯罪服務器已經發現殆盡了。而事實證明，我們應該重新認識或者重新命名這兩個勒索軟件團伙。

7月出現的第一個新的勒索團伙是Haron，第二個則為BlackMatter。Ars Technica的Dan Goodin指出，背后潛藏的“分身”可能還有更多。

該勒索團伙都緊盯財力雄厚的目標，因為這些目標可以支付數百萬美元的贖金。他們也像DarkSide那樣以道德自我標榜，用類似的語言聲稱保護醫院、關鍵基礎設施、非營利組織等。

Haron及其“剪切黏貼”的贖金票據

Haron惡意軟件的第一個樣本于7 月19日提交給VirusTotal。三天后，韓國安全公司S2W Lab在一篇文章中報道了該組織，其中列出了Haron和Avaddon之間的相似之處。

Avaddon是另一個多產的勒索軟件即服務 (RaaS) 提供商，它在6月份消失了，消失原因不同于繼Colonial Pipeline和其他大型勒索軟件攻擊之后的法律熱潮。當時，Avaddon向BleepingComputer發布了其解密密鑰——總共2934個，每個密鑰分屬一個受害者。據執法部門稱，Avaddon要求的平均勒索費用約為40000美元，這意味著勒索軟件運營商及其附屬組織的退出失去了數百萬美元。

卷土重來，再次作案?

S2W Lab在7月22日的帖子中表示，當感染Haron勒索軟件時，“加密文件的擴展名會更改為受害者的名字。” Haron也與Avaddon勒索軟件類似，因為其運營商使用贖金票據，并運營自己的數據泄露網站。在其帖子中，S2W提供了來自兩個團伙的贖金票據并排圖像。

如下圖所示，這兩個贖金票據連起來就像是經過了“剪切黏貼”一樣。S2W Lab指出，主要區別在于Haron建議受害者使用特定的ID和密碼來登錄談判站點。

Avaddon和Haron的贖金記錄。資料來源：S2W 實驗室

Haron和Avaddon之間還有許多其他相似之處，包括：

• 兩個談判網站上還有更多相似的措辭;
• 除了“Avaddon”的勒索軟件名稱被替換為“Haron”之外，談判網站的界面幾乎相同;
• 以前在俄羅斯開發者論壇上發布的用于聊天的相同開源JavaScript代碼塊;
• 兩個泄漏網站共享相同的結構。

如果Haron是Avaddon的重生，“新瓶裝舊酒”則包括一個策略——通過設置下一次數據更新的時間來誘導談判。另一個區別是：Haron尚未發現三重威脅，至少現在還沒有。在三重威脅攻擊中，在提出贖金要求之前不僅數據在本地會被加密還會被泄露，而且頑固的受害者還會受到分布式拒絕服務 (DDoS) 攻擊的威脅，直到他們愿意繳納贖金為止。

此外，Haron將談判時間縮短到6天，而Avaddon則有10天的談判時間。S2W實驗室表示，另一個不同之處在于這兩種勒索軟件引擎的運行， Haron運行的是Thanos勒索軟件，一種“勒索軟件附屬計劃”，類似于勒索軟件即服務 (RaaS)，自2019年以來一直在銷售，而Avaddon是用C++編寫的。

然而，所有的相似之處都不能證明Avaddon的“涅槃重生”。他們可以簡單地指出來自 Avaddon的一個或多個威脅參與者正在重新啟動，或者僅此而已。

根據 S2W 的文章顯示：“根據我們的分析，很難得出Haron是Avaddon重新出現的結論。”該文章指出“Avaddon開發并使用了他們自己的基于C++的勒索軟件”，而Haron 發布的公開可用的Thanos勒索軟件使用的是C#。

SentinelOne的Jim Walter表明，他已經看到了Avaddon和Haron樣本之間的相似之處，相信會有更多真相浮出水面。截至7月22日，Haron的泄密網站只披露了一名受害者。

BlackMatter新手作案

第二個勒索軟件新手自稱 BlackMatter。

7月27日，安全公司Recorded Future及其新聞部門The Record報道了有關新團伙的消息，該公司認為他們是DarkSide和REvil的繼任者。風險情報公司Flashpoint也發現了這個“新手”，并指出BlackMatter于7月19日在俄語地下論壇XSS和Exploit上注冊了一個賬戶，并將4個比特幣(截至周三下午約150000美元)存入其Expoit 托管賬戶。

在DarkSide攻擊Colonial Pipeline之后，這兩個論壇都在5月份禁止了勒索軟件討論。災難性的停工引發了東海岸天然氣囤積，聯邦政府的緊急命令，在此之后，REvil對其合作伙伴網絡進行了預審核，表示禁止攻擊任何政府、公眾、教育機構或醫療保健組織。

提及DarkSide此次事件，REvil的支持者表示，該組織是“被迫引入”這些“重大新限制”，承諾違反新規則的勒索軟件附屬運營商將被踢出組織，并免費提供解密工具。

Flashpoint指出，Exploit論壇上的大量存款表明BlackMatter問題的嚴重性。

7月21日，威脅行為者表示，該網絡正在尋求購買美國、加拿大、澳大利亞和英國受影響網絡的訪問權限，可能是為了進行勒索軟件操作。它提供高達10萬美元的網絡訪問費用，以及作為贖金的一部分。

高投入，釣大魚

BlackMatter正在投入大筆資金，因為它在“釣大魚”。該組織表示，它正在尋找收入超過 1億美元的財力雄厚的組織，這樣的組織規模才有可能會支付大筆贖金。威脅行為者還要求目標對象的網絡中擁有500至15000臺主機。這一要求適用于所有行業，除了醫療保健和政府組織。

“我們是道德吸血鬼”

以道德自我標榜，特定行業組織絕不攻擊。The Record報告稱BlackMatter的數據泄漏網站目前是空的，這意味著BlackMatter僅在本周推出，尚未進行任何網絡滲透攻擊。

BlackMatter泄漏站點的列出了一部分禁止訪問的目標類型，包括：

• 醫院
• 關鍵基礎設施(核電站、發電廠、水處理設施)
• 石油和天然氣工業(管道、煉油廠)
• 國防工業
• 非營利公司
• 政府部門

似乎有些許熟悉?在Colonial攻擊之后，DarkSide團伙在數據泄露網站上給其他勒索團伙似乎也帶上了“緊箍咒”。這些團伙的附屬組織并一定會遵守這些，但是BlackMatter做出承諾，如果這些行業的受害者受到攻擊，勒索軟件運營商將免費解密他們的數據。

讓勒索行為“合法化”

提供威脅情報和贖金談判GroupSense情報服務副總裁Mike Fowler一直在關注 BlackMatter。他在7月28日告訴Threatpost，最近，Hive、Grief和最近的BlackMatter等新興RaaS卡特爾使用的戰術、技術和流程 (TTP)發生了演變，這種演變讓人想起由2020年Maze主導的“雙重勒索”。

Fowler在一封電子郵件中說：“GroupSense目睹了RaaS卡特爾內部對目標用戶地位和品牌知名度的預期爭奪，BlackMatter在前兩個網絡犯罪論壇上的帳戶注冊清楚地證明了這一點。他們在俄羅斯最大的網絡犯罪論壇Exploit上將4個比特幣存入他們的托管賬戶，這顯然是為了獲得合法性。”

瞄準目標，一擊即中

Digital Shadows的Sean Nikkel在7月28日表示，勒索團伙選擇攻擊目標時也在謹慎地做選擇，并展開“盡職調查”。

Nikkel通過電子郵件說：“我們一次又一次地發現他們對目標組織內的關鍵人物、收入、規模甚至客戶都有一些了解，因此大型游戲狩獵的想法似乎與觀察到的勒索軟件趨勢一致。”

他稱勒索軟件對部分行業的美德信號和承諾是“有趣的轉折”。

Nikkel補充道，“雖然REvil之前曾公開表示一切都是公平的，但如果他們真的重生了，或許這會讓他們改變主意。”

“有趣”是描述它的一種方式，另一種方式則是“如吸血寄生蟲般吱吱作響”，正如Ars報道的評論者所說：

GroupSense的Fowler也沒有對BlackMatter不傷害某些組織的“小指承諾”印象深刻。他說這聽起來特別空洞，“因為隨著#2 RaaS逐漸消失，REvil的地位越來越突出(可以推翻原來的論調)。”從長遠來看，雖然BlackMatter是“當今的風尚”，但Fowler 表示，其他RaaS服務，如Conti、Grief、Hive和LockBit，“同樣是一個巨大的威脅”。

時間會證明：下一個勒索軟件是Phoenix還是New Ratbag?

New Net Technologies (NNT) 負責安全研究的全球副總裁Dirk Schrader7月28日告訴 Threatpost，沒有看到REvil或DarkSide重新出現的明確跡象，任何人都難以下論斷。他在一封電子郵件中補充說，REvil很有可能主動決定“取消一切并重新出現，只是為了讓跟蹤和追蹤變得更加困難”。

與此同時，Schrader預測，當前這種狀況很難改變且將持續一段時間。實際上，威脅行為者正在利用工具改進他們的方法，以查看具有“更高動機”支付贖金的目標，例如Kaseya和SolarWinds。

Schrader 通過電子郵件表示：“勒索軟件組織將繼續尋找可能有更高動機支付的攻擊媒介，這是該業務的下一個發展方向，我們已經看到了早期效果。Kaseya、SolarWinds，這些工具承諾可以訪問高價值資產，而組織的收入來源和聲譽取決于這些資產。”Schrader認為VMware最近添加的EXSi服務器的加密功能是“未來的預兆”，并指出最近CISA關于最常被利用的漏洞警報，其中包括關于CVE-2021-21985的警告：關鍵的遠程代碼執行( RCE) VMware vCenter Server和 VMware Cloud Foundation中的漏洞。

Schrader 提出：“從本質上講，隨著時間的推移，不支付贖金是唯一可以根除勒索軟件的方法。因此，為了做到這一點，公司必須最大限度地減少和保護他們的攻擊面，加強他們的系統和基礎設施，正確管理現有帳戶并刪除舊帳戶。根據風險修補漏洞，受到攻擊時具備彈性網絡的運行方式。”

參考來源：BlackMatter & Haron: Evil Ransomware Newborns or Rebirths