BlackMatter & Haron: Böse Ransomware-Neugeburten oder Wiedergeburten

  • Sie sind entweder neue oder alte REvil & DarkSide-Wein in neuen Flaschen. Beide haben eine Vorliebe für hochbezahlte Ziele und DarkSide-esque Tugendhaftigkeit.

    So viel zu den dunklen Servern in den Hauptquartieren der DarkSide- oder REvil-Ransomware-Gruppen. Es stellt sich heraus, dass wir es entweder mit ihren umbenannten Versionen oder mit zwei neuen Ransomware-Gruppen zu tun haben.

    Die erste neue Gruppe, die in diesem Monat auftauchte, war Haron, und die zweite heißt BlackMatter. Dan Goodin von Ars Technica weist darauf hin, dass es möglicherweise noch mehr davon gibt.

    Beide behaupten, dass sie sich auf Ziele mit tiefen Taschen konzentrieren, die Lösegelder in Millionenhöhe zahlen können. Sie geben sich auch als Tugendwächter à la DarkSide aus, wobei sie Krankenhäuser, kritische Infrastrukturen, gemeinnützige Organisationen usw. verschonen wollen.

    BlackMatter hat auch eine kostenlose Entschlüsselung versprochen, wenn seine Partner es vermasseln und Kätzchen töten oder Dateien einfrieren, z. B. bei Pipeline-Unternehmen, wie es bei dem Angriff auf Colonial Pipeline durch DarkSide im Mai geschah.

    Haron & Seine Cut-and-Paste Lösegeldforderung

    Die erste Probe der Haron-Malware wurde am 19. Juli bei VirusTotal eingereicht. Drei Tage später berichtete das südkoreanische Sicherheitsunternehmen S2W Lab über die Gruppe in einem Beitrag, der Ähnlichkeiten zwischen Haron und Avaddon aufzeigte.

    Avaddon ist ein weiterer erfolgreicher Ransomware-as-a-Service (RaaS)-Anbieter, der sich im Juni auflöste, um sich nicht dem rechtlichen Druck auszusetzen, der auf Colonial Pipeline und andere große Ransomware-Angriffe folgte. Damals gab Avaddon seine Entschlüsselungsschlüssel an BleepingComputer weiter – insgesamt 2.934 – wobei jeder Schlüssel zu einem einzelnen Opfer gehörte. Nach Angaben der Strafverfolgungsbehörden betrug die von Avaddon geforderte durchschnittliche Erpressungsgebühr etwa 40.000 US-Dollar, was bedeutet, dass die Ransomware-Betreiber und ihre Partner aufgaben und sich von Millionenbeträgen trennten.

    Oder haben sie?

    In seinem Beitrag vom 22. Juli erklärte S2W Lab, dass bei einer Infektion mit Haron-Ransomware “die Erweiterung der verschlüsselten Datei in den Namen des Opfers geändert wird”. Haron ähnelt der Avaddon-Ransomware auch insofern, als seine Betreiber eine Lösegeldforderung verwenden und eine eigene Leak-Site betreiben. In seinem Beitrag stellte S2W Bilder von Erpresserbriefen der beiden Banden nebeneinander.

    Wie Sie unten sehen können, lesen sich die beiden Erpresserbriefe wie ein Cut-and-Paste-Job. S2W Lab stellte fest, dass der Hauptunterschied darin besteht, dass Haron den Opfern eine bestimmte ID und ein Passwort vorschlägt, um sich auf der Verhandlungsseite anzumelden.

    [Blocked Image: https://alltechnews.de/daten/2021/07/BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.png]

    Erpresserbriefe von Avaddon und Haron. Quelle: S2W Lab.

    Es gibt noch viele andere Gemeinsamkeiten zwischen Haron und Avaddon, darunter:

    • Noch mehr ausgeschnittenes und eingefügtes Geschwätz auf den beiden Verhandlungsseiten.
    • Nahezu identisches Erscheinungsbild der Verhandlungsseiten, abgesehen davon, dass der Name der Ransomware “Avaddon” durch “Haron” ersetzt wurde.
    • Identische Teile des für den Chat verwendeten Open-Source-JavaScript-Codes, der zuvor in einem russischen Entwicklerforum veröffentlicht worden war.
    • Die beiden Leckseiten haben die gleiche Struktur.

    Wenn Haron die Wiedergeburt von Avaddon ist, dann beinhalten die neuen Flaschen für den alten Wein eine Strategie, um Verhandlungen durch die Festlegung eines Zeitpunkts für die nächste Datenaktualisierung zu veranlassen. Ein weiterer Unterschied: Haron spielt keine dreifache Bedrohung, zumindest noch nicht. Bei Triple-Threat-Angriffen werden die Daten nicht nur lokal verschlüsselt und exfiltriert, bevor die Lösegeldforderung gestellt wird, sondern widerspenstige Opfer werden auch mit DDoS-Angriffen (Distributed Denial of Service) bedroht, bis sie aufgeben.

    Außerdem hat Haron die Verhandlungszeit auf sechs Tage verkürzt, während Avaddon 10 Tage für die Verhandlung vorsieht. Ein weiterer Unterschied liegt in der Engine, mit der die beiden Ransomware-Programme arbeiten: S2W Lab sagte, dass Haron auf der Ransomware Thanos läuft – ein “Ransomware Affiliate Program”, ähnlich einem Ransomware-as-a-Service (RaaS), das seit 2019 verkauft wird – während Avaddon in C++ geschrieben wurde.

    Keine der Ähnlichkeiten ist ein solider Beweis dafür, dass Avaddon wie ein Ransomware-Phönix aus der Asche aufgestiegen ist: Sie könnten einfach darauf hindeuten, dass ein oder mehrere Bedrohungsakteure von Avaddon an einem Neustart arbeiten, oder sie könnten auf gar nichts hindeuten.

    “Unsere Analyse lässt nur schwer den Schluss zu, dass es sich bei Haron um eine Wiederauferstehung von Avaddon handelt”, heißt es in dem S2W-Bericht, in dem darauf hingewiesen wird, dass Avaddon seine eigene C++-basierte Ransomware entwickelt und verwendet hat, während die öffentlich verfügbare Ransomware Thanos, die Haron verwendet, auf C# basiert.

    Jim Walter von SentinelOne teilte Ars mit, dass er Ähnlichkeiten zwischen Avaddon- und Haron-Samples gesehen hat, aber er wird bald mehr wissen.

    Bis zum 22. Juli hatte die Haron-Leak-Site nur ein einziges Opfer bekannt gegeben.

    BlackMatter

    Der zweite Ransomware-Neuling nennt sich BlackMatter. Neuigkeiten über das neue Netzwerk wurden am Dienstag von der Sicherheitsfirma Recorded Future – die es als Nachfolger von DarkSide und REvil bezeichnete – und von ihrem Nachrichtenzweig The Record gemeldet. Das Risikoaufklärungsunternehmen Flashpoint entdeckte den Neuankömmling ebenfalls und stellte fest, dass BlackMatter am 19. Juli ein Konto in den russischsprachigen Untergrundforen XSS und Exploit registrierte und 4 Bitcoins (ca. 150.000 US-Dollar, Stand Mittwochnachmittag) auf sein Expoit-Treuhandkonto einzahlte.

    Beide Foren hatten im Mai, nach dem Angriff von DarkSide auf Colonial Pipeline, die Diskussion über Ransomware verboten. Nach dem katastrophalen Ausfall der Pipeline, der an der Ostküste eine Gasflut auslöste und eine Notverordnung der Bundesregierung zur Folge hatte, führte REvil eine Vormoderation für sein Partnernetzwerk ein und erklärte, dass es jeden Versuch eines Angriffs auf Regierungs-, öffentliche, Bildungs- oder Gesundheitseinrichtungen verbieten würde.

    Unter Bezugnahme auf die Erfahrungen von DarkSide erklärten die Hintermänner von REvil, die Gruppe sei “gezwungen” gewesen, diese “bedeutenden neuen Beschränkungen” einzuführen, und versprachen, dass Partner, die gegen die neuen Regeln verstoßen, rausgeschmissen würden und dass sie Entschlüsselungstools kostenlos verteilen würden.

    Flashpoint merkte an, dass die große Anzahl an Einlagen im Exploit-Forum zeigt, dass BlackMatter es ernst meint.

    Am 21. Juli teilte der Bedrohungsakteur mit, dass das Netzwerk Zugang zu betroffenen Netzwerken in den USA, Kanada, Australien und Großbritannien kaufen möchte, vermutlich für Ransomware-Operationen. Es bietet bis zu 100.000 US-Dollar für den Netzwerkzugang sowie einen Anteil an den Lösegeldeinnahmen.

    Großes Geld für große Fische

    BlackMatter setzt viel Geld ein, weil sie hinter großen Fischen her ist. Die Gruppe sagte, dass sie nach zahlungskräftigen Organisationen mit einem Umsatz von mehr als 100 Millionen US-Dollar sucht: die Größe von Organisationen, von denen man erwarten kann, dass sie hohe Lösegelder zahlen. Der Bedrohungsakteur verlangt außerdem, dass die Ziele 500 bis 15.000 Hosts in ihren Netzwerken haben. Außerdem sind alle Branchen mit Ausnahme des Gesundheitswesens und von Regierungen betroffen.

    [Blocked Image: https://alltechnews.de/daten/2021/07/1627497625_647_BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.png]

    BlackMatter-Display auf dem Exploit Underground-Forum. Quelle: Recorded Future.

    ‘Wir sind ethische Blutsauger’

    Das ist der Punkt, an dem das virtuelle Signal ins Spiel kommt. The Record berichtet, dass die Leak-Site von BlackMatter derzeit leer ist, was bedeutet, dass BlackMatter erst diese Woche an den Start gegangen ist und noch keine Netzdurchdringungen durchgeführt hat.

    Wenn BlackMatter auf die Suche nach Opfern geht, wird die Liste keine Liste von Zieltypen enthalten, die derzeit angeblich tabu sind. Ein Abschnitt der BlackMatter-Website listet die Arten von Zielen auf, die tabu sind, darunter:

    • Krankenhäuser
    • Kritische Infrastruktureinrichtungen (Kernkraftwerke, Kraftwerke, Wasseraufbereitungsanlagen)
    • Öl- und Gasindustrie (Pipelines, Ölraffinerien)
    • Verteidigungsindustrie
    • Gemeinnützige Unternehmen
    • Staatlicher Sektor

    Kommt Ihnen das bekannt vor? Das liegt daran, dass es sich hierbei um eine Liste handelt, die auf der Leak-Site der DarkSide-Gang zu finden war, bevor diese nach dem Colonial-Angriff angeblich in Konkurs ging. Versprechen, diese Art von Organisationen nicht anzugreifen, werden von den Mitgliedern dieser Banden nicht immer eingehalten, aber BlackMatter hat versprochen, dass die Betreiber ihre Daten kostenlos entschlüsseln werden, wenn Opfer aus diesen Branchen angegriffen werden.

    Sorgfältiges Targeting der Opfer

    Sean Nikkel von Digital Shadows erklärte am Mittwoch gegenüber Threatpost, dass die sorgfältige Auswahl großer Unternehmen die zunehmende Zahl von Bedrohungsakteuren widerspiegelt, die bei der Auswahl ihrer Opfer “mit der nötigen Sorgfalt vorgehen”.

    “Wir haben immer wieder gesehen, dass sie über ein gewisses Wissen über Schlüsselpersonen innerhalb eines Unternehmens, Einnahmen, Größe und sogar Kunden verfügen, so dass die Idee der Großwildjagd mit den beobachteten Ransomware-Trends übereinzustimmen scheint”, sagte Nikkel per E-Mail.

    Er nannte die Tugendhaftigkeit und das Versprechen, den ausgenommenen Branchen zu helfen, eine “interessante Wendung”.

    “Während REvil zuvor öffentlich erklärt hatte, dass alles erlaubt sei, hat die Abkühlung durch die frühere Aufmerksamkeit vielleicht einen Sinneswandel erzwungen, falls sie tatsächlich zurückkommen”, fügte Nikkel hinzu.

    “Interessant” ist eine Möglichkeit, dies zu beschreiben. Eine andere Möglichkeit ist, es als Quietschen von blutsaugenden Parasiten zu betrachten, wie ein Kommentator auf Ars’ Bericht vorschlug:

    [Blocked Image: https://alltechnews.de/daten/2021/07/BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.jpg]

    Ransomware-Phoenixe oder neue Rattenschwänze? Die Zeit wird es zeigen

    Dirk Schrader, Global Vice President of Security Research bei New Net Technologies (NNT), erklärte am Mittwoch gegenüber Threatpost, dass jeder, der das erneute Auftauchen von REvil oder DarkSide nicht bemerkt hat, möglicherweise nicht ganz richtig im Kopf ist. Es besteht eine “gute Chance”, dass REvil proaktiv beschlossen hat, “alles abzuschalten und wieder aufzutauchen, nur um die Verfolgung und Rückverfolgung noch schwieriger zu machen”, fügte er in einer E-Mail hinzu.

    In der Zwischenzeit wird das Säbelrasseln der Biden-Administration gegenüber Russland oder China über kinetische Reaktionen und Hackerangriffe nichts an der Situation ändern, prophezeite Schrader. Die Bedrohungsakteure verfeinern ohnehin ihre Ansätze, um Ziele zu finden, die eine “höhere Motivation” haben, Lösegeld zu zahlen, wie z. B. Kaseya und SolarWinds.

    “Ransomware-Gruppen werden weiterhin nach Angriffsvektoren suchen, die wahrscheinlich eine höhere Motivation zur Zahlung haben, und das ist die nächste Entwicklung in diesem Geschäft”, sagte Schrader per E-Mail. “Wir sehen bereits die ersten Auswirkungen. Kaseya, SolarWinds, Tools, die Zugang zu hochwertigen Assets versprechen, von denen die Einnahmen und der Ruf eines Unternehmens abhängen.”

    Schrader glaubt, dass VMwares kürzlich hinzugefügte Fähigkeit, EXSi-Server zu verschlüsseln, “ein Vorbote dessen ist, was noch kommen wird”, und verweist auf die jüngste Warnung der CISA über die am häufigsten ausgenutzten Schwachstellen, die auch eine Warnung über CVE-2021-21985 enthielt: die kritische Schwachstelle für Remotecodeausführung (RCE) in VMware vCenter Server und VMware Cloud Foundation.

    “Im Grunde genommen ist die Nichtzahlung eines Lösegelds der einzige Ansatz, der Ransomware mit der Zeit ausrotten wird”, sagte Schrader. “Und um dafür gerüstet zu sein, müssen Unternehmen ihre Angriffsfläche minimieren und schützen, ihre Systeme und Infrastruktur härten, bestehende Konten ordnungsgemäß verwalten und alte löschen, Schwachstellen je nach Risiko patchen und in der Lage sein, im Falle eines Angriffs cyber-resistent zu agieren.”

    [Blocked Image: https://alltechnews.de/daten/2021/07/1627497625_347_BlackMatter-Haron-Boese-Ransomware-Neugeburten-oder-Wiedergeburten.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 AM EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Seien Sie bei dieser LIVE-Diskussion mit Gastgeberin Becky Bracken und den Uptycs-Forschern Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST dabei.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com