新的勒索軟體團伙 — Haron和BlackMatter開始行動

網路威脅格局不斷變化，最近兩個名為BlackMatter和Haron的新勒索軟體即服務 (RaaS) 運營成為頭條新聞。

BlackMatter

BlackMatter集團的運營者在他們的公開部落格中表示:“該專案將DarkSide、REvil和LockBit的最佳特性整合到自身中，並承諾不會打擊醫療、關鍵基礎設施、石油和天然氣、國防、非營利組織和政府部門等多個行業的組織。”

據Flashpoint稱，BlackMatter威脅行為者於7月19日在俄語論壇XSS和Exploit上註冊了一個帳戶，隨後迅速釋出了一篇帖子，稱他們正在尋求買對受感染企業網路的訪問許可權，該網路包含500至15,000臺主機美國、加拿大、澳大利亞和英國，年收入超過1 億美元，可能暗示接下來會有大規模勒索軟體操作。

“攻擊者將4BTC(約 150,000 美元)存入他們的託管賬戶。論壇上的大量存款表明威脅行為者的嚴重性，”Flashpoint 研究人員在一份報告中說。

7月27日，該組織據稱已開始招募合作伙伴和附屬機構，他們聲稱正在尋找熟悉 Windows和Linux系統的有經驗的滲透測試人員以及初始訪問供應商，他們要麼出售他們的訪問許可權，要麼為一定比例的利潤工作。

上個月，企業安全公司Proofpoint披露，越來越多的勒索軟體團伙從獨立的網路犯罪團伙那裡購買訪問許可權，這些團伙潛入主要目標，然後為他們提供一個切入點，部署資料盜竊和加密操作，以換取非法所得的一部分收益。

BlackMatter的出現恰逢DarkSide和REvil在Colonial Pipeline、JBS和Kaseya受到高度宣傳的勒索軟體事件之後的隱匿階段，這也讓人禁不住猜想些組織最終可能會以新身份重出現。

Haron

韓國安全公司首次描述了Haron惡意軟體，研究人員發現了Haron小組和Avaddon行動之間的許多相似之處，包括：

贖金的相似性;

談判地點的相似性;

洩漏點的相似性;

這種情況表明Haron可能是重生的Avaddon。Avaddon和其他RaaS專案一樣，由於擔心聯邦當局對DarkSide發起的科洛尼管道勒索軟體攻擊的反應，在6月份消失了。

該網路犯罪組織關閉了其業務，並向BleepingComputer網站提供瞭解密金鑰。該組織還關閉了伺服器並刪除了駭客論壇上的資料，並關閉了他們的洩密網站。然而，專家們注意到，執行這兩種勒索軟體的引擎是不同的，Haron是基於Thanos勒索軟體，這是一種RaaS，自2019年以來一直在地下網路犯罪中出售。

哈倫勒索軟體於2021年7月首次被發現。當系統感染此勒索軟體時，加密檔案的副檔名會被更改為受害者的名字。犯罪分子使用勒索信並運營自己的洩露網站。

不斷出現的新型惡意軟體告訴我們，網路空間的“戰爭”已非常激烈。看似安全穩定的軟體系統很可能潛藏危機。每每忽視掉的某個安全漏洞，給企業或組織帶來的損失可能是難以估量的。

因此，在網路空間風險日益加劇的今天，企業和個人都應打起十二分精神，增強對企業的安全管控機制、強化網路安全意識，特別是在軟體開發過程中，對程式碼質量的把握顯得尤為重要，根據國家權威資料顯示(資料來源--美國國家標準與技術局(NIST)、國家漏洞資料庫(NVD))：90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致的!傳統的“老三樣”(防毒軟體、防火牆、入侵檢測系統)已難以應對不斷進化的網路攻擊，因此在軟體開發時 不斷檢測並修復程式碼缺陷，是減少資料丟失的重要手段!