Renaissance ou création, les experts s’interrogent après l’apparition de deux familles de ransomwares dans le paysage de la menace. Ils ont déjà leur nom : BlackMatter et Haron et leurs cibles, des grandes entreprises capables de payer d’importantes rançons. Mais leur arrivée intervient au moment où plusieurs gangs de ransomware ont disparu des radars comme récemment Revil, quelques jours après l’affaire Kaseya. C’est le cas aussi de Darkside qui a arrêté sa communication quelque temps après le piratage de Colonial Pipeline. On peut citer aussi Avaddon qui s’est évaporé en juin dernier.

Sur ce dernier, les analystes ont trouvé des similitudes avec Haron, dont le premier échantillon est apparu le 19 juillet sur Virus Total. La société coréenne S2W Lab a constaté des correspondances sur les demandes de rançons. Celles de Haron sont des copier-coller des documents d’Avaddon. La seule évolution est que Haron suggère aux victimes un identifiant et un mot de passe spécifiques pour se connecter au site de négociation. Toujours dans les analogies, les deux rançongiciels intègrent des bouts identiques d'un code JavaScript open-source utilisé pour le chat, qui a été précédemment publié sur un forum de développeurs russes. Mais les experts constatent aussi des différences, comme le fait que Haron se base sur un ransomware existant nommé Thanos. Avaddon avait écrit le sien en C++. De même le dernier né n’inclut pas (pour l’instant) la triple menace : chiffrement des données, vol et publication de données, attaques DDoS. Il faudra attendre pour confirmer si Haron est le successeur d’Avaddon.

BlackMatter chasse les grandes entreprises

Passons maintenant à BlackMatter dont l’existence a été découverte par la société Recorded Future. Elle l’a qualifié de successeur de Revil et Darkside. De son côté Flashpoint a observé que BlackMatter a enregistré un compte sur les forums clandestins russophones XSS et Exploit le 19 juillet dernier et a déposé 4 bitcoins (environ 150 000 $) sur un compte pour acquérir des accès réseaux. Ces deux forums avaient interdit les discussions sur les ransomwares après l’attaque sur Colonial Pipeline.

BlackMatter a donc repris le flambeau et il est à la recherche d’accès à des réseaux aux Etats-Unis, Canada, Australie et Royaume-Uni. Mais à la différence de ses prédécesseurs, le groupe vise des cibles bien particulières, les grands comptes avec un chiffre d’affaires supérieur à 100 millions de dollars et des structures disposant d’un réseau de 500 à 15 000 hôtes. Il veut s’attaquer à tous les secteurs d’activité à l’exception du domaine de la santé et gouvernemental. Cette liste d’exclusion est la même que celle produite par Darkside. D’autres analystes restent circonspects sur la filiation entre les groupes de ransomwares, pariant plutôt sur une tactique opportuniste de combler le vide laisser par la disparition de Revil et Darkside. Des gangs comme Conti, Grief (ex Doppelmayer), Hive et LockBit constituent des menaces aussi importantes.