新的勒索软件团伙 — Haron和BlackMatter开始行动

网络威胁格局不断变化，最近两个名为BlackMatter和Haron的新勒索软件即服务 (RaaS) 运营成为头条新闻。

BlackMatter

BlackMatter集团的运营者在他们的公开博客中表示:“该项目将DarkSide、REvil和LockBit的最佳特性整合到自身中，并承诺不会打击医疗、关键基础设施、石油和天然气、国防、非营利组织和政府部门等多个行业的组织。”

据Flashpoint称，BlackMatter威胁行为者于7月19日在俄语论坛XSS和Exploit上注册了一个帐户，随后迅速发布了一篇帖子，称他们正在寻求购买对受感染企业网络的访问权限，该网络包含500至15,000台主机美国、加拿大、澳大利亚和英国，年收入超过1 亿美元，可能暗示接下来会有大规模勒索软件操作。

“攻击者将4BTC(约 150,000 美元)存入他们的托管账户。论坛上的大量存款表明威胁行为者的严重性，”Flashpoint 研究人员在一份报告中说。

7月27日，该组织据称已开始招募合作伙伴和附属机构，他们声称正在寻找熟悉 Windows和Linux系统的有经验的渗透测试人员以及初始访问供应商，他们要么出售他们的访问权限，要么为一定比例的利润工作。

上个月，企业安全公司Proofpoint披露，越来越多的勒索软件团伙从独立的网络犯罪团伙那里购买访问权限，这些团伙潜入主要目标，然后为他们提供一个切入点，部署数据盗窃和加密操作，以换取非法所得的一部分收益。

BlackMatter的出现恰逢DarkSide和REvil在Colonial Pipeline、JBS和Kaseya受到高度宣传的勒索软件事件之后的隐匿阶段，这也让人禁不住猜想些组织最终可能会以新身份重出现。

Haron

韩国安全公司首次描述了Haron恶意软件，研究人员发现了Haron小组和Avaddon行动之间的许多相似之处，包括：

赎金票据的相似性;

谈判地点的相似性;

泄漏点的相似性;

这种情况表明Haron可能是重生的Avaddon。Avaddon和其他RaaS项目一样，由于担心联邦当局对DarkSide发起的科洛尼管道勒索软件攻击的反应，在6月份消失了。

该网络犯罪组织关闭了其业务，并向BleepingComputer网站提供了解密密钥。该组织还关闭了服务器并删除了黑客论坛上的资料，并关闭了他们的泄密网站。然而，专家们注意到，运行这两种勒索软件的引擎是不同的，Haron是基于Thanos勒索软件，这是一种RaaS，自2019年以来一直在地下网络犯罪中出售。

哈伦勒索软件于2021年7月首次被发现。当系统感染此勒索软件时，加密文件的扩展名会被更改为受害者的名字。犯罪分子使用勒索信并运营自己的泄露网站。

不断出现的新型恶意软件告诉我们，网络空间的“战争”已非常激烈。看似安全稳定的软件系统很可能潜藏危机。每每忽视掉的某个安全漏洞，给企业或组织带来的损失可能是难以估量的。

因此，在网络空间风险日益加剧的今天，企业和个人都应打起十二分精神，增强对企业的安全管控机制、强化网络安全意识，特别是在软件开发过程中，对代码质量的把握显得尤为重要，根据国家权威数据显示(数据来源--美国国家标准与技术局(NIST)、国家漏洞数据库(NVD))：90%以上的网络安全问题是由软件自身的安全漏洞被利用导致的!传统的“老三样”(杀毒软件、防火墙、入侵检测系统)已难以应对不断进化的网络攻击，因此在软件开发时不断检测并修复代码缺陷，是减少数据丢失的重要手段!

参读链接：

https://thehackernews.com/2021/07/new-ransomware-gangs-haron-and.html