Haron und BlackMatter – Neue Spieler oder vergessene Cybergangs?
In letzter Zeit sind einige neue Cyberkriminelle am Horizont aufgetaucht. Als BlackMatter bzw. Haron bezeichnet, gibt es sie kurz genug, um immer noch geheimnisvoll zu wirken, und lang genug, um Sicherheitsforschern Hinweise auf mögliche Verbindungen zu älteren Spielern wie DarkSide, REvil oder Avaddon zu geben.
Inhaltsverzeichnis
Auf ähnliche Ziele zeigen
Ob die beiden neuen Gangs die guten alten Gauner mit neuem Anstrich sind, ist noch zu früh, um eine eindeutige Aussage treffen zu können. Eines scheint jedoch so klar wie das Tageslicht zu sein – beide Gruppen zielen auf reiche Regierungs- und Nichtregierungsorganisationen ab – Unternehmen, die kein Problem damit hätten, potenziell Millionen von Dollar für Lösegeldzahlungen auszugeben, wenn sie einem Ransomware-Angriff ausgesetzt wären. Dies ist jedoch bei weitem nicht die einzige gemeinsame Funktion von Haron und BlackMatter einerseits und DarkSide und REvil andererseits. Zunächst einmal gibt es auffallende Ähnlichkeiten in ihrem Code und der Lösegeldforderung.
Andere gemeinsame Funktionen…
Ein Blick auf Harons Lösegeldforderung deutet darauf hin, dass letzterer möglicherweise erhebliche Kredite von Avaddon aufgenommen hat – einer neuen Ransomware-as-a-Service (RaaS)-Gruppe, die früher durchschnittlich 40.000 US-Dollar pro Opfer erpresste, bevor sie sich letzten Monat plötzlich in die Luft auflöste. Vor der Auflösung hatte die Avadon-Cyberbande Berichten zufolge bis zu 2.934 Ziele getroffen, wenn man sich an der Anzahl ihrer kürzlich veröffentlichten Entschlüsselungsschlüssel orientieren kann. Dass beide Bands hier und da die gleichen Teile des JS-Codes teilen, ist auch kaum verwunderlich.
Nicht so häufige Funktionen
Auch wenn die Notizen von Haron und Avaddon im Vergleich identisch aussehen, gibt es einen bemerkenswerten Unterschied in Bezug auf das Namensmuster, das bei der Dateiverschlüsselung angewendet wird. So wie es ist, passt Haron jede Erweiterung an den Namen jeder infizierten Partei an. Darüber hinaus würde der C#-basierte Haron keine Welle von Distributed Denial-of-Service (DDoS)-Angriffen auf seine nicht zahlenden Ziele auslösen. Gleichzeitig hat das in C++ kompilierte Avaddon schon oft solche Triple-Threat-Spiele durchgeführt. Zu guter Letzt haben Harons Opfer sechs Tage Zeit, um das Lösegeld zu zahlen, im Gegensatz zu Avaddons erheblich längerer 10-Tage-Frist.
BlackMatter – Ein Nachkomme von REvil und DarkSide?
BlackMatter ist ein neuer Malware-Player, der sich verpflichtet, alle Unternehmen (mit Ausnahme von Gesundheits-, Regierungs- und kritischen Infrastrukturorganisationen) anzugreifen, deren Jahresumsatz 100 Millionen US-Dollar übersteigt und deren Netzwerke zwischen 500 und 15.000 Hosts haben. Die Gauner hinter BlackMatter sind Berichten zufolge bereit, sich von Hunderttausenden von Dollar zu trennen, um auch in fehlerhafte Netzwerke auf beiden Seiten des Atlantiks zu gelangen. Die Mission von BlackMatter, Pipelines, Kraftwerke, NGOs, Krankenhäuser, Wasseraufbereitungsanlagen und andere kritische Infrastrukturobjekte nicht zu treffen, impliziert, dass die verantwortlichen Akteure entschlossen sind, das koloniale Pipeline-Debakel nicht zu wiederholen. Dieser Schritt deutet auch darauf hin, dass sie bei der Erstellung der Liste potenzieller Ziele selektiv vorgegangen sind – im Einklang mit den neuesten Ransomware-Trends.
Noch früh für ein endgültiges Urteil
Obwohl die Neuankömmlinge Haron und BlackMatter eine große Ähnlichkeit mit älteren Gangs wie REVil, DarkSide und Avaddon zu haben scheinen, müssen Sicherheitsforscher noch genügend Beweise sammeln, um eine direkte Verbindung zu erkennen. Erstere können zu verfeinerten Versionen der letzteren oder zu völlig neuen Gangs werden – vorbehaltlich zusätzlicher Analysen und Untersuchungen.