重生之路:恶意勒索软件BlackMatter和Haron的前世今生
BlackMatter和Haron,乍一听,大家或许很陌生,其实可能是REvil和DarkSide的化身。
俗话说,“旧瓶装新酒”,而在这里,是“新瓶装旧酒”。他们都喜欢财力雄厚的“猎物”,并标榜“道德”的化身。
对于DarkSide或REvil勒索软件组织而言,潜藏窝点的犯罪服务器已经发现殆尽了。而事实证明,我们应该重新认识或者重新命名这两个勒索软件团伙。
7月出现的第一个新的勒索团伙是Haron,第二个则为BlackMatter。ArsTechnica的DanGoodin指出,背后潜藏的“分身”可能还有更多。
该勒索团伙都紧盯财力雄厚的目标,因为这些目标可以支付数百万美元的赎金。他们也像DarkSide那样以道德自我标榜,用类似的语言声称保护医院、关键基础设施、非营利组织等。
Haron及其“剪切黏贴”的赎金票据
Haron恶意软件的第一个样本于7月19日提交给VirusTotal。三天后,韩国安全公司S2WLab在一篇文章中报道了该组织,其中列出了Haron和Avaddon之间的相似之处。
Avaddon是另一个多产的勒索软件即服务 (RaaS)提供商,它在6月份消失了,消失原因不同于继ColonialPipeline和其他大型勒索软件攻击之后的法律热潮。当时,Avaddon向BleepingComputer发布了其解密密钥——总共2934个,每个密钥分属一个受害者。据执法部门称,Avaddon要求的平均勒索费用约为40000美元,这意味着勒索软件运营商及其附属组织的退出失去了数百万美元。
卷土重来,再次作案?
S2WLab在7月22日的帖子中表示,当感染Haron勒索软件时,“加密文件的扩展名会更改为受害者的名字。”Haron也与Avaddon勒索软件类似,因为其运营商使用赎金票据,并运营自己的数据泄露网站。在其帖子中,S2W提供了来自两个团伙的赎金票据并排图像。
如下图所示,这两个赎金票据连起来就像是经过了“剪切黏贴”一样。S2WLab指出,主要区别在于Haron建议受害者使用特定的ID和密码来登录谈判站点。
Avaddon和Haron的赎金记录。资料来源:S2W 实验室
Haron和Avaddon之间还有许多其他相似之处,包括:
- 两个谈判网站上还有更多相似的措辞;
- 除了“Avaddon”的勒索软件名称被替换为“Haron”之外,谈判网站的界面几乎相同;
- 以前在俄罗斯开发者论坛上发布的用于聊天的相同开源JavaScript代码块;
- 两个泄漏网站共享相同的结构。
如果Haron是Avaddon的重生,“新瓶装旧酒”则包括一个策略——通过设置下一次数据更新的时间来诱导谈判。另一个区别是:Haron尚未发现三重威胁,至少现在还没有。在三重威胁攻击中,在提出赎金要求之前不仅数据在本地会被加密还会被泄露,而且顽固的受害者还会受到分布式拒绝服务(DDoS)攻击的威胁,直到他们愿意缴纳赎金为止。
此外,Haron将谈判时间缩短到6天,而Avaddon则有10天的谈判时间。S2W实验室表示,另一个不同之处在于这两种勒索软件引擎的运行,Haron运行的是Thanos勒索软件,一种“勒索软件附属计划”,类似于勒索软件即服务(RaaS),自2019年以来一直在销售,而Avaddon是用C++编写的。
然而,所有的相似之处都不能证明Avaddon的“涅槃重生”。他们可以简单地指出来自Avaddon的一个或多个威胁参与者正在重新启动,或者仅此而已。
根据S2W的文章显示:“根据我们的分析,很难得出Haron是Avaddon重新出现的结论。”该文章指出“Avaddon开发并使用了他们自己的基于C++的勒索软件”,而Haron发布的公开可用的Thanos勒索软件使用的是C#。
SentinelOne的JimWalter表明,他已经看到了Avaddon和Haron样本之间的相似之处,相信会有更多真相浮出水面。截至7月22日,Haron的泄密网站只披露了一名受害者。
BlackMatter新手作案
第二个勒索软件新手自称 BlackMatter。
7月27日,安全公司RecordedFuture及其新闻部门TheRecord报道了有关新团伙的消息,该公司认为他们是DarkSide和REvil的继任者。风险情报公司Flashpoint也发现了这个“新手”,并指出BlackMatter于7月19日在俄语地下论坛XSS和Exploit上注册了一个账户,并将4个比特币(截至周三下午约150000美元)存入其Expoit托管账户。
在DarkSide攻击ColonialPipeline之后,这两个论坛都在5月份禁止了勒索软件讨论。灾难性的停工引发了东海岸天然气囤积,联邦政府的紧急命令,在此之后,REvil对其合作伙伴网络进行了预审核,表示禁止攻击任何政府、公众、教育机构或医疗保健组织。
提及DarkSide此次事件,REvil的支持者表示,该组织是“被迫引入”这些“重大新限制”,承诺违反新规则的勒索软件附属运营商将被踢出组织,并免费提供解密工具。
Flashpoint指出,Exploit论坛上的大量存款表明BlackMatter问题的严重性。
7月21日,威胁行为者表示,该网络正在寻求购买美国、加拿大、澳大利亚和英国受影响网络的访问权限,可能是为了进行勒索软件操作。它提供高达10万美元的网络访问费用,以及作为赎金的一部分。
高投入,钓大鱼
BlackMatter正在投入大笔资金,因为它在“钓大鱼”。该组织表示,它正在寻找收入超过1亿美元的财力雄厚的组织,这样的组织规模才有可能会支付大笔赎金。威胁行为者还要求目标对象的网络中拥有500至15000台主机。这一要求适用于所有行业,除了医疗保健和政府组织。
“我们是道德吸血鬼”
以道德自我标榜,特定行业组织绝不攻击。TheRecord报告称BlackMatter的数据泄漏网站目前是空的,这意味着BlackMatter仅在本周推出,尚未进行任何网络渗透攻击。
BlackMatter泄漏站点的列出了一部分禁止访问的目标类型,包括:
- 医院
- 关键基础设施(核电站、发电厂、水处理设施)
- 石油和天然气工业(管道、炼油厂)
- 国防工业
- 非营利公司
- 政府部门
似乎有些许熟悉?在Colonial攻击之后,DarkSide团伙在数据泄露网站上给其他勒索团伙似乎也带上了“紧箍咒”。这些团伙的附属组织并一定会遵守这些,但是BlackMatter做出承诺,如果这些行业的受害者受到攻击,勒索软件运营商将免费解密他们的数据。
让勒索行为“合法化”
提供威胁情报和赎金谈判GroupSense情报服务副总裁MikeFowler一直在关注BlackMatter。他在7月28日告诉Threatpost,最近,Hive、Grief和最近的BlackMatter等新兴RaaS卡特尔使用的战术、技术和流程(TTP)发生了演变,这种演变让人想起由2020年Maze主导的“双重勒索”。
Fowler在一封电子邮件中说:“GroupSense目睹了RaaS卡特尔内部对目标用户地位和品牌知名度的预期争夺,BlackMatter在前两个网络犯罪论坛上的帐户注册清楚地证明了这一点。他们在俄罗斯最大的网络犯罪论坛Exploit上将4个比特币存入他们的托管账户,这显然是为了获得合法性。”
瞄准目标,一击即中
Digital Shadows的Sean Nikkel在7月28日表示,勒索团伙选择攻击目标时也在谨慎地做选择,并展开“尽职调查”。
Nikkel通过电子邮件说:“我们一次又一次地发现他们对目标组织内的关键人物、收入、规模甚至客户都有一些了解,因此大型游戏狩猎的想法似乎与观察到的勒索软件趋势一致。”
他称勒索软件对部分行业的美德信号和承诺是“有趣的转折”。
Nikkel补充道,“虽然REvil之前曾公开表示一切都是公平的,但如果他们真的重生了,或许这会让他们改变主意。”
“有趣”是描述它的一种方式,另一种方式则是“如吸血寄生虫般吱吱作响”,正如Ars报道的评论者所说:
GroupSense的Fowler也没有对BlackMatter不伤害某些组织的“小指承诺”印象深刻。他说这听起来特别空洞,“因为随着#2RaaS逐渐消失,REvil的地位越来越突出(可以推翻原来的论调)。”从长远来看,虽然BlackMatter是“当今的风尚”,但Fowler表示,其他RaaS服务,如Conti、Grief、Hive和LockBit,“同样是一个巨大的威胁”。
时间会证明:下一个勒索软件是Phoenix还是New Ratbag?
New Net Technologies (NNT) 负责安全研究的全球副总裁DirkSchrader7月28日告诉Threatpost,没有看到REvil或DarkSide重新出现的明确迹象,任何人都难以下论断。他在一封电子邮件中补充说,REvil很有可能主动决定“取消一切并重新出现,只是为了让跟踪和追踪变得更加困难”。
与此同时,Schrader预测,当前这种状况很难改变且将持续一段时间。实际上,威胁行为者正在利用工具改进他们的方法,以查看具有“更高动机”支付赎金的目标,例如Kaseya和SolarWinds。
Schrader通过电子邮件表示:“勒索软件组织将继续寻找可能有更高动机支付的攻击媒介,这是该业务的下一个发展方向,我们已经看到了早期效果。Kaseya、SolarWinds,这些工具承诺可以访问高价值资产,而组织的收入来源和声誉取决于这些资产。”Schrader认为VMware最近添加的EXSi服务器的加密功能是“未来的预兆”,并指出最近CISA关于最常被利用的漏洞警报,其中包括关于CVE-2021-21985的警告:关键的远程代码执行(RCE)VMware vCenter Server和 VMware Cloud Foundation中的漏洞。
Schrader提出:“从本质上讲,随着时间的推移,不支付赎金是唯一可以根除勒索软件的方法。因此,为了做到这一点,公司必须最大限度地减少和保护他们的攻击面,加强他们的系统和基础设施,正确管理现有帐户并删除旧帐户。根据风险修补漏洞,受到攻击时具备弹性网络的运行方式。”
参考来源:BlackMatter & Haron: Evil Ransomware Newborns or Rebirths
推荐系统
windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载
语言:中文版系统大小:5.31GB系统类型:Win11windows11中文版镜像 微软win11正式版简体中文GHOST ISO镜像64位系统下载,微软win11发布快大半年了,其中做了很多次补丁和修复一些BUG,比之前的版本有一些功能上的调整,目前已经升级到最新版本的镜像系统,并且优化了自动激活,永久使用。windows11中文版镜像国内镜像下载地址微软windows11正式版镜像 介绍:1、对函数算法进行了一定程度的简化和优化
微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载
语言:中文版系统大小:5.31GB系统类型:Win11微软windows11正式版GHOST ISO镜像 win11下载 国内最新版渠道下载,微软2022年正式推出了win11系统,很多人迫不及待的要体验,本站提供了最新版的微软Windows11正式版系统下载,微软windows11正式版镜像 是一款功能超级强大的装机系统,是微软方面全新推出的装机系统,这款系统可以通过pe直接的完成安装,对此系统感兴趣,想要使用的用户们就快来下载
微软windows11系统下载 微软原版 Ghost win11 X64 正式版ISO镜像文件
语言:中文版系统大小:0MB系统类型:Win11微软Ghost win11 正式版镜像文件是一款由微软方面推出的优秀全新装机系统,这款系统的新功能非常多,用户们能够在这里体验到最富有人性化的设计等,且全新的柔软界面,看起来非常的舒服~微软Ghost win11 正式版镜像文件介绍:1、与各种硬件设备兼容。 更好地完成用户安装并有效地使用。2、稳定使用蓝屏,系统不再兼容,更能享受无缝的系统服务。3、为
雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载
语言:中文版系统大小:4.75GB系统类型:雨林木风Windows11专业版 Ghost Win11官方正式版 (22H2) 系统下载在系统方面技术积累雄厚深耕多年,打造了国内重装系统行业的雨林木风品牌,其系统口碑得到许多人认可,积累了广大的用户群体,雨林木风是一款稳定流畅的系统,一直以来都以用户为中心,是由雨林木风团队推出的Windows11国内镜像版,基于国内用户的习惯,做了系统性能的优化,采用了新的系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
相关文章
- 特殊的故障:设置键盘密码开机遇到的问题
- 笔记本电脑怎么连接WIFI网络 笔记本电脑与WiFi网络连接的方法
- 美国吹哨人呢?SolarWinds事件两次国会听证会复盘
- DDOS网络攻击的7种武器
- 详解:易到用车如何被黑客“开”走了车
- 专栏
- 安全市场倍数增长,2027年全球网安市场将达到3264亿美元
- 本想钟馗打鬼却成了鬼打钟馗, CNAME保护技术最终变成了CNAME伪装攻击技术
- U盘中毒都有哪些症状 如何解决U盘中毒?
- 快速切换网络配置
- 微软承认曾向包含恶意的Netfilter rootkit内核驱动程序提供签名
- 电脑不能上网?教你一步步排查网络故障
- 如何正确处理系统不认鼠标的故障
- 在Win8系统中, wifi连接受限怎么办?
- 浏览器的本地数据加密机制分析
- 病毒、木马ARP攻击行为的原理分析及解决思路
- 如何解决无线网络连接上但上不了网的问题
- 让自解压文件在右键中不显示的实现方法
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 3Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 4Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 5i7 6700主频是多少 i7-6700参数详解
- 6安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 7win7蓝屏代码7f指什 怎么解决 很严重
- 8华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
- 9腾讯全民wifi内测资格申请教程 腾讯全民WIFI申请活动及地址详情
- 10二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
常用系统
- 1雨林木风 Windows10 x64 企业装机版2020年1月(64位) ISO镜像高速下载
- 2电脑公司 装机专用系统Windows10 x86企业版 版本1507 2022年3月(32位) ISO镜像快速下载
- 3深度技术 GHOSTXPSP3 电脑城极速装机版 2020年11月 ISO镜像高速下载
- 4电脑公司Ghost Win8.1 X64位 纯净版2022年4月(自动激活) ISO镜像快速下载
- 5新雨林木风 Windows10 x86 企业装机版2020年8月(32位) ISO镜像高速下载
- 6电脑公司 装机专用系统Windows10 x64 企业装机版 版本1507 2022年3月(64位) ISO镜像高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年4月(32位) ISO镜像高速下载
- 8深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年3月(64位) 高速下载
- 9电脑公司 装机专用系统Windows10 x64 企业装机版 版本1507 2021年11月(64位) ISO镜像高速下载
- 10电脑公司Ghost Win7 Sp1 装机万能版2020年8月(32位) 提供下载