Zwei neue Ransomware-as-Service (RaaS)-Programme sind im Juli auf dem Cybercrime-Radar aufgetaucht. Die Gruppe BlackMatter behauptet, ein Nachfolger von DarkSide und REvil zu sein. Die beiden berüchtigten Ransomware-Syndikate waren nach den Großangriffen auf Colonial Pipeline und Kaseya in den letzten Monaten vom Netz gegangen. Bei der zweiten Gruppe Haron spekuliert man über Verbindungen zu Avaddon. Diese Ransomware-Gruppe tauchte im Juni unter, nachdem sie tausende Schlüssel veröffentlicht hatte, mit denen die Opfer ihre Daten wiederherstellen konnten.

Beide Gruppen behaupten, dass sie es auf große Ziele abgesehen haben, d. h. auf Konzerne oder andere große Unternehmen, die in der Lage sind, Lösegelder in Millionenhöhe zu zahlen. Die jüngsten Ransomware-Angriffe auf den Ölpipeline-Betreiber Colonial Pipeline, den Fleischverpacker JBS SA und den Managed-Network-Anbieter Kaseya haben zu erheblichen Unterbrechungen geführt und Druck in Washington erzeugt, um die Bedrohungen einzudämmen.

BlackMatter – aus drei mach eins

"Das Projekt hat die besten Eigenschaften von DarkSide, REvil und LockBit in sich vereint", erklärten die Betreiber der neuen BlackMatter-Gruppe in ihrem öffentlichen Darknet-Blog. Auffällig ist das Versprechen, keine Unternehmen aus den Bereichen Gesundheitswesen, kritische Infrastrukturen, Öl und Gas, Verteidigung, gemeinnützige Organisationen und Behörden anzugreifen.

Laut Flashpoint registrierte der BlackMatter-Akteur am 19. Juli ein Konto in den russischsprachigen Foren XSS und Exploit. Kurz darauf schrieb er, dass er Zugang zu infizierten Unternehmensnetzwerken mit 500 bis 15.000 Hosts in den USA, Kanada, Australien und Großbritannien und einem Jahresumsatz von mehr als 100 Millionen US-Dollar erwerben wolle. Das deutet durchaus auf eine groß angelegte Ransomware-Operation hin.

"Der Akteur hat 4 BTC (ca. 150.000 USD) auf sein Treuhandkonto eingezahlt. Große Einzahlungen im Forum deuten auf die Seriosität des Bedrohungsakteurs hin", so die Flashpoint-Forscher in einem Bericht. "BlackMatter gibt nicht offen an, dass es sich um einen Betreiber eines Ransomware-Kollektivs handelt, was technisch gesehen nicht gegen die Forenregeln verstößt, obwohl die Sprache ihres Beitrags sowie ihre Ziele eindeutig darauf hindeuten, dass sie ein Betreiber eines Ransomware-Kollektivs sind.“

BlackMatter betreibt, wie die meisten hochrangigen Ransomware-Gangs heutzutage, auch eine Website im Dark Web - oder eine Leak-Site - auf der sie beabsichtigen, die von ihren Opfern gestohlenen Daten zu veröffentlichen, wenn das gehackte Unternehmen das Lösegeld nicht zahlt. Da die Website derzeit leer ist, gehen die Analysten von Recorded Future davon aus, dass die Gruppe erst in dieser Woche an den Start gegangen ist und noch keine großen Unternehmen ins Visier genommen hat.

Sean Nikkel, Senior Cyber Threat Intel Analyst bei Digital Shadows, sagt: "Bedrohungsakteure gehen bei der Auswahl ihrer Opfer immer sorgfältiger vor. Wir haben immer wieder gesehen, dass sie über ein gewisses Wissen über wichtige Persönlichkeiten innerhalb eines Unternehmens, Einnahmen, Größe und sogar Kunden verfügen.“

Interessant sei die anhaltende öffentliche Haltung gegen bestimmte Branchen und die Versprechen, den Opfern zu helfen. Während REvil zuvor öffentlich erklärt hatte, dass alles Freiwild sei, hat die Abkühlungsphase nach der vorherigen Aufmerksamkeit vielleicht einen Sinneswandel erzwungen, falls sie tatsächlich zurückkommen.

Aber vielleicht sind es doch nur Nachahmer, die absichtlich das Verhalten von REvil imitieren, um sofortige Glaubwürdigkeit zu erlangen…

Haron ist wie Avaddon. Vielleicht aber auch nicht.

Eine Probe der Haron-Malware wurde erstmals am 19. Juli an VirusTotal übermittelt. Drei Tage später erörterte das südkoreanische Sicherheitsunternehmen S2W Lab die Gruppe in einem Beitrag.

Der größte Teil der Website der Haron-Gruppe im Dark Web ist durch extrem schwache Anmeldedaten passwortgeschützt. Hinter der Anmeldeseite befinden sich eine Liste angeblicher Ziele, ein Chatprotokoll, das nicht vollständig angezeigt werden darf, und die Erklärung der Gruppe zu ihrer Mission.

Wie S2W Lab feststellte, sind das Layout, die Organisation und das Erscheinungsbild der Website fast identisch mit denen von Avaddon, der Ransomware-Gruppe, die erst vor wenigen Wochen untergetaucht war. Die Ähnlichkeit ist für sich genommen nicht besonders aussagekräftig. Sie könnte bedeuten, dass der Ersteller der Haron-Website an der Verwaltung der Avaddon-Website beteiligt war. Andererseits wäre es aber auch denkbar, dass der Schöpfer der Haron-Site eine Fälschung gebaut hat.

Zugegeben: Eine Verbindung zwischen Haron und Avaddon wäre überzeugender, wenn es Überschneidungen oder Ähnlichkeiten in dem von den beiden Gruppen verwendeten Code gäbe. Bislang wurden jedoch keine derartigen Verbindungen gemeldet.

Laut S2W Lab handelt es sich bei der Engine, die die Ransomware Haron antreibt, um Thanos, eine separate Ransomware, die seit mindestens 2019 im Umlauf ist. Haron wurde mithilfe eines kürzlich veröffentlichten Thanos-Builders für die Programmiersprache C# entwickelt. Avaddon hingegen wurde in C++ geschrieben.

Wie auch immer es nun weitergeht

In jedem Fall wird die Zeit zeigen, ob diese Gruppen die neu verpackten oder umbenannten Versionen der Gegner sind, die wir von früher kennen, oder ob sie sich sogar an ihre eigenen Regeln halten.

Dirk Schrader, Global Vice President, Security Research bei New Net Technologies (NNT) stellt fest, dass jegliches Säbelrasseln der US-Regierung über kinetische Reaktionen und Hackerangriffe nichts an der Situation ändern werde. Ransomware-Gruppen werden weiterhin nach Angriffsvektoren suchen, die wahrscheinlich eine höhere Motivation zur Zahlung von Lösegeldern haben. Erstes Ziel wird bleiben, Zugang zu hochwertigen Anlagen zu gewinnen, von denen die Einnahmen und der Ruf eines Unternehmens abhängen.

Letztendlich ist die Nichtzahlung eines Lösegelds der einzige Ansatzpunkt, um Ransomware mit der Zeit ausrotten zu können. Aber um im Ernstfall dafür gerüstet zu sein, müssen Unternehmen ihre Angriffsfläche minimieren und schützen, ihre Systeme und Infrastruktur härten, bestehende Konten ordnungsgemäß verwalten und alte löschen, Schwachstellen je nach Risiko patchen und in der Lage sein, im Falle eines Angriffs widerstandsfähig zu sein.

Quellen:

https://medium.com/s2wlab/quick-analysis-of-haron-ransomware-feat-avaddon-and-thanos-1ebb70f64dc4

https://www.flashpoint-intel.com/blog/chatter-indicates-blackmatter-as-revil-successor/

https://thehackernews.com/2021/07/new-ransomware-gangs-haron-and.html

https://www.securitymagazine.com/articles/95744-blackmatter-and-haron-ransomware-groups-emerge-after-darkside-and-revil-disappear

https://arstechnica.com/gadgets/2021/07/july-has-already-brought-us-2-new-ransomware-groups-hunting-for-big-game/

https://securityaffairs.co/wordpress/120670/malware/blackmatter-haron-ransomware-gangs.html