重生之路：恶意勒索软件BlackMatter和Haron的前世今生

BlackMatter和Haron，乍一听，大家或许很陌生，其实可能是REvil和DarkSide的化身。

俗话说，“旧瓶装新酒”，而在这里，是“新瓶装旧酒”。他们都喜欢财力雄厚的“猎物”，并标榜“道德”的化身。

对于DarkSide或REvil勒索软件组织而言，潜藏窝点的犯罪服务器已经发现殆尽了。而事实证明，我们应该重新认识或者重新命名这两个勒索软件团伙。

7月出现的第一个新的勒索团伙是Haron，第二个则为BlackMatter。Ars Technica的Dan Goodin指出，背后潜藏的“分身”可能还有更多。

该勒索团伙都紧盯财力雄厚的目标，因为这些目标可以支付数百万美元的赎金。他们也像DarkSide那样以道德自我标榜，用类似的语言声称保护医院、关键基础设施、非营利组织等。

Haron及其“剪切黏贴”的赎金票据

Haron恶意软件的第一个样本于7 月19日提交给VirusTotal。三天后，韩国安全公司S2W Lab在一篇文章中报道了该组织，其中列出了Haron和Avaddon之间的相似之处。

Avaddon是另一个多产的勒索软件即服务 (RaaS) 提供商，它在6月份消失了，消失原因不同于继Colonial Pipeline和其他大型勒索软件攻击之后的法律热潮。当时，Avaddon向BleepingComputer发布了其解密密钥——总共2934个，每个密钥分属一个受害者。据执法部门称，Avaddon要求的平均勒索费用约为40000美元，这意味着勒索软件运营商及其附属组织的退出失去了数百万美元。

卷土重来，再次作案?

S2W Lab在7月22日的帖子中表示，当感染Haron勒索软件时，“加密文件的扩展名会更改为受害者的名字。” Haron也与Avaddon勒索软件类似，因为其运营商使用赎金票据，并运营自己的数据泄露网站。在其帖子中，S2W提供了来自两个团伙的赎金票据并排图像。

如下图所示，这两个赎金票据连起来就像是经过了“剪切黏贴”一样。S2W Lab指出，主要区别在于Haron建议受害者使用特定的ID和密码来登录谈判站点。

Avaddon和Haron的赎金记录。资料