Neue Ransomware-Banden – Haron und BlackMatter – tauchen in Cybercrime-Foren auf

  • In diesem Monat sind zwei neue Ransomware-as-Service (RaaS)-Programme auf dem Bedrohungsradar aufgetaucht. Eine Gruppe behauptet, ein Nachfolger von DarkSide und REvil zu sein, den beiden berüchtigten Ransomware-Syndikaten, die in den letzten Monaten nach großen Angriffen auf Colonial Pipeline und Kaseya vom Netz gegangen sind.

    “Das Projekt hat die besten Eigenschaften von DarkSide, REvil und LockBit in sich vereint”, erklärten die Betreiber der neuen BlackMatter-Gruppe in ihrem öffentlichen Darknet-Blog und versprachen, keine Unternehmen in verschiedenen Branchen anzugreifen, darunter das Gesundheitswesen, kritische Infrastrukturen, Öl und Gas, Verteidigung, gemeinnützige Organisationen und Behörden.

    [Blocked Image: https://thehackernews.com/images/-OoudkWOwaI4/YMt1nG7ZqHI/AAAAAAAA4Qo/zhvoTujBMzIboAsA28Ekt3IPPv7HQZb4ACLcBGAsYHQ/s728-e100/free-ad-7-728.png]

    Laut Flashpoint registrierte der BlackMatter-Bedrohungsakteur am 19. Juli ein Konto in den russischsprachigen Foren XSS und Exploit. Kurz darauf folgte ein Posting, in dem er angab, Zugang zu infizierten Unternehmensnetzwerken mit 500 bis 15.000 Hosts in den USA, Kanada, Australien und Großbritannien und einem Jahresumsatz von über 100 Millionen US-Dollar erwerben zu wollen, was auf eine groß angelegte Ransomware-Operation hindeuten könnte.

    “Der Akteur hat 4 BTC (etwa 150.000 USD) auf sein Treuhandkonto eingezahlt. Große Einzahlungen im Forum deuten auf die Ernsthaftigkeit des Bedrohungsakteurs hin”, so die Flashpoint-Forscher in einem Bericht. “BlackMatter gibt nicht offen an, dass es sich um einen Betreiber eines Ransomware-Kollektivs handelt, was technisch gesehen nicht gegen die Forenregeln verstößt, obwohl die Sprache ihres Beitrags sowie ihre Ziele eindeutig darauf hindeuten, dass sie ein Betreiber eines Ransomware-Kollektivs sind.

    [Blocked Image: https://thehackernews.com/images/-Hc5ATFINrig/YQJ0XfqJbUI/AAAAAAAADYQ/07C_XfDHqCkGqkqelDzzdOI-JD4iZXhJQCLcBGAsYHQ/s728-e1000/ransomware.jpg]

    Am 27. Juli soll die Gruppe damit begonnen haben, aktiv Partner und Affiliates zu rekrutieren, indem sie den Jabber-Server des Exploit-Forums nutzte, um ihre Rekrutierungsbotschaft zu verbreiten, in der sie behauptet, erfahrene Penetrationstester zu suchen, die sich mit Windows- und Linux-Systemen auskennen, sowie Anbieter von Erstzugängen, die ihren Zugang entweder gegen eine prozentuale Gewinnbeteiligung verkaufen würden.

    Letzten Monat hat das Sicherheitsunternehmen Proofpoint aufgedeckt, dass Ransomware-Banden zunehmend Zugang von unabhängigen Cyberkriminellen kaufen, die große Ziele infiltrieren und ihnen dann einen Einstiegspunkt für Datendiebstahl und Verschlüsselungsoperationen im Austausch für einen Teil des unrechtmäßigen Gewinns bieten.

    [Blocked Image: https://thehackernews.com/images/-OSV4PB8Gs_s/YLy9M_8zkrI/AAAAAAAA4BE/n1p4_TGqv8w7u-Ha-YBjdamOZ8K2RHL_ACLcBGAsYHQ/s300-e100/privileged_300.jpg]

    Das Auftauchen von BlackMatter fällt mit dem Niedergang von DarkSide und REvil im Zuge der öffentlichkeitswirksamen Ransomware-Vorfälle bei Colonial Pipeline, JBS und Kaseya zusammen und gibt Anlass zu Spekulationen, dass die Gruppen möglicherweise unter einer neuen Identität wieder auftauchen werden.

    Auch wenn es kaum konkrete Beweise für eine Verbindung zwischen BlackMatter und den inzwischen aufgelösten Gruppen gibt, lassen die “ähnlichen Regeln für das Anvisieren von Zielpersonen” und die Tatsache, dass REvil seinen Windows-Registrierungsschlüssel zuvor als “BlackLivesMatter” bezeichnet hat, die Vermutung zu, dass REvil nach einer Welle aufsehenerregender Angriffe tatsächlich eine vorübergehende Pause eingelegt und in den Untergrund gegangen sein könnte.

    “Es ist möglich, dass Nachahmer absichtlich das Verhalten von REvil imitieren, um sofortige Glaubwürdigkeit zu erlangen, weil sie angeblich die Reinkarnation von REvil sind”, so Flashpoint.

    BlackMatter ist jedoch nicht der einzige Neueinsteiger. Das südkoreanische Sicherheitsunternehmen S2W Labs enthüllte letzte Woche Haron, einen weiteren Neuzugang im Ökosystem der Cyberkriminalität, der diesen Monat auftauchte und sich stark an frühere Ransomware-Varianten wie Thanos und das inzwischen eingestellte Avaddon anlehnt.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com