Haron e BlackMatter: nuovi gruppi ransomware o...vecchie conoscenze sotto mentite spoglie?

Haron e BlackMatter: nuovi gruppi ransomware o...vecchie conoscenze sotto mentite spoglie?

La comunità dei ricercatori di sicurezza ha riscontrato due nuovi attori nel panorama dei ransomware: per ora gli elementi a disposizione permettono solo di elaborare qualche teoria

di pubblicata il , alle 12:31 nel canale Sicurezza
 

Sulla scena ransomware fanno comparsa due nuovi gruppi, che ancora pare non abbiano messo in ginocchio alcuna vittima ma che sembrano intenzionati a mettere nel mirino bersagli di alto profilo, vale a dire realtà che possano avere la capacità di corrispondere pagamenti milionari. In realtà i due nuovi gruppi potrebbero essere semplicemente vecchie conoscenze che cambiano insegne, ma i ricercatori di sicurezza non dispongono al momento di sufficienti informazioni per propendere per l'una o l'altra ipotesi.

Il primo dei due gruppi va sotto il nome di Haron: VirusTotal ha potuto analizzare per la prima volta un campione del loro ransomware lo scorso 19 luglio, e pochi giorni dopo la società di sicurezza sudcoreana S2W Lab ha avuto modo di parlare dello stesso gruppo in un post su Medium

Secondo quanto si apprende, il sito del gruppo presente sul dark web è per lo più protetto da password, ma con credenziali non particolarmente robuste. Oltre alla pagina di accesso al sito è stato ritrovata una lista di presunti e preusmibili bersagli, alcune chat tra i membri del gruppo, e il loro "manifesto" con principi, credo e missione.

S2W Lab ha sottolineato che l'organizzazione del sito e il suo layout sono molto somiglianti a quelli di Avaddon, un altro gruppo ransomware attivo nel passato recente ma che è passato nell'ombra lo scorso mese di giugno quando ha inviato a BleepingComputer una chiave di decifratura completa che può essere utilizzata dalle vittime per recuperare i dati. La somiglianza del sito wen non necessariamente è indice di qualcosa, e tra l'altro i ricercatori notano che nel codice dei rispettivi malware non è stato ad ora possibile individuare elementi che possano suggerire che i due gruppi siano in realtà la stessa mano.

In particolare alla base del malware Haron vi sarebbe Thanos, un ransomware noto fin dal 2019. Dalle analisi emerge che Haron è stato sviluppato usando un builder Thanos pubblicato di recente per il linguaggio di programmazione C#, laddove Avaddon è invece stato scritto in C++.

Il ricercatore di sicurezza Jim Walter, di SentinelOne, ha però fatto sapere di aver individuato alcuni elementi che potrebbero essere sovrapponibili con quelli di Avaddon in alcuni campioni più recenti. Sono attesi aggiornamenti nei prossimi giorni su questo fronte.

BlackMatter è invece il nome con cui si fa chiamare il secondo dei presunti nuovi arrivati. Questa volta è la società di sicurezza Recorded Future ad averne rivelato l'esistenza. In questo caso l'interrogativo è se BlackMatter possa avere dei punti di contatto con i gruppi DarkSide o REvil: anche questa volta sono stati riscontrati elementi di somiglianza a livello grafico, oltre all'impegno di prendere di mira ospedali o infrastrutture critiche (gli stessi campi d'azione di DarkSide).

DarkSide e REvil, tuttavia, sembra abbiano cessato ogni attività. Ciò è accaduto dopo alcuni dei più gravi incidenti di sicurezza informatica, quelli a carico di JBS e Kaseya nel caso di REvil, e quello a Colonial Pipeline per mano di DarkSide. A quanto pare gli incidenti avrebbero sollevato un polverone e acceso maggior attenzione di quanto entrambi i gruppi volessero.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Sandro kensan29 Luglio 2021, 14:35 #1
In questo caso l'interrogativo è


Io concordo sul fatto che ci sia un interrogativo come spiegato nell'articolo, quello con cui non sono assolutamente d'accordo è come mai questo interrogativo non compare mai negli articoli in cui ricopiate tale e quale la velina che vine dagli organi di stampa americani in cui ci si dichiara sicuri che il tale attacco è russo o cinese.

Possibile che in quel caso gli interrogativi e la capacità critica svaniscano nel nulla per lasciare il posto ad assolute certezze?

Solo nei commenti si capisce che la velina è fatta per compiacere gli USA e che non si sa da dove è partito l'attacco.
pabloski30 Luglio 2021, 11:31 #2
Originariamente inviato da: Sandro kensan
Possibile che in quel caso gli interrogativi e la capacità critica svaniscano nel nulla per lasciare il posto ad assolute certezze?


Mica vogliono trovarsi i man in black a casa?

Parliamoci chiaro. Ormai siamo in guerra. Le voci discordanti verranno attenzionate e potrebbero finire in campi di concentramento se le cose dovessero mettersi male.

La democrazia occidentale è ormai morta, lasciando il posto alla più becera plutocrazia parassitaria.

Normale che pure i vari hwupgrade e soci debbano allinearsi. In fondo un attacco DDos made in NSA mica è tanto improbabile. O magari qualche bel bonifico in entrata sul conto dei proprietari di hwupgrade, provenienti da qualche simpatico messicano dei Los Zetas. E fare l'upload di qualche migliaio di foto pedofile su pc e smartphone delle persone coinvolte, è roba da niente quando si usano Pegasus e compagnia. O se dovessero proprio essere incorruttibili, c'è sempre un cappio pronto.

O dobbiamo credere che Epstein si sia suicidato? E magari s'è suicidato pure De Donno https://www.theitaliantimes.it/2021...a-covid-plasma/

il medico che proponeva la cura col plasma, invisa a big pharma che deve far soldoni coi vaccini.

Il popolo ama essere calpestato e fare il pecorone. I pochi che reagiscono muoiono. E francamente non me la sento di criticare i dirgenti di hwupgrade per aver mantenuto "toni miti". Voglio dire, se uno vuole leggere critiche al sistema, va su Dagospia. Mica viene su hwupgrade.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^