NewsTecnologia

Haron e BlackMatter: nuovi gruppi ransomware o…vecchie conoscenze sotto mentite spoglie?

Sulla scena ransomware fanno comparsa due nuovi gruppi, che ancora pare non abbiano messo in ginocchio alcuna vittima ma che sembrano intenzionati a mettere nel mirino bersagli di alto profilo, vale a dire realtà che possano avere la capacità di corrispondere pagamenti milionari. In realtà i due nuovi gruppi potrebbero essere semplicemente vecchie conoscenze che cambiano insegne, ma i ricercatori di sicurezza non dispongono al momento di sufficienti informazioni per propendere per l’una o l’altra ipotesi.

Il primo dei due gruppi va sotto il nome di Haron: VirusTotal ha potuto analizzare per la prima volta un campione del loro ransomware lo scorso 19 luglio, e pochi giorni dopo la società di sicurezza sudcoreana S2W Lab ha avuto modo di parlare dello stesso gruppo in un post su Medium

Secondo quanto si apprende, il sito del gruppo presente sul dark web è per lo più protetto da password, ma con credenziali non particolarmente robuste. Oltre alla pagina di accesso al sito è stato ritrovata una lista di presunti e preusmibili bersagli, alcune chat tra i membri del gruppo, e il loro “manifesto” con principi, credo e missione.

S2W Lab ha sottolineato che l’organizzazione del sito e il suo layout sono molto somiglianti a quelli di Avaddon, un altro gruppo ransomware attivo nel passato recente ma che è passato nell’ombra lo scorso mese di giugno quando ha inviato a BleepingComputer una chiave di decifratura completa che può essere utilizzata dalle vittime per recuperare i dati. La somiglianza del sito wen non necessariamente è indice di qualcosa, e tra l’altro i ricercatori notano che nel codice dei rispettivi malware non è stato ad ora possibile individuare elementi che possano suggerire che i due gruppi siano in realtà la stessa mano.

In particolare alla base del malware Haron vi sarebbe Thanos, un ransomware noto fin dal 2019. Dalle analisi emerge che Haron è stato sviluppato usando un builder Thanos pubblicato di recente per il linguaggio di programmazione C#, laddove Avaddon è invece stato scritto in C++.

Il ricercatore di sicurezza Jim Walter, di SentinelOne, ha però fatto sapere di aver individuato alcuni elementi che potrebbero essere sovrapponibili con quelli di Avaddon in alcuni campioni più recenti. Sono attesi aggiornamenti nei prossimi giorni su questo fronte.

BlackMatter è invece il nome con cui si fa chiamare il secondo dei presunti nuovi arrivati. Questa volta è la società di sicurezza Recorded Future ad averne rivelato l’esistenza. In questo caso l’interrogativo è se BlackMatter possa avere dei punti di contatto con i gruppi DarkSide o REvil: anche questa volta sono stati riscontrati elementi di somiglianza a livello grafico, oltre all’impegno di prendere di mira ospedali o infrastrutture critiche (gli stessi campi d’azione di DarkSide).

DarkSide e REvil, tuttavia, sembra abbiano cessato ogni attività. Ciò è accaduto dopo alcuni dei più gravi incidenti di sicurezza informatica, quelli a carico di JBS e Kaseya nel caso di REvil, e quello a Colonial Pipeline per mano di DarkSide. A quanto pare gli incidenti avrebbero sollevato un polverone e acceso maggior attenzione di quanto entrambi i gruppi volessero.