Tras los ataques hechos a la Lotería Nacional por parte del grupo de ciberdelincuentes Avaddon, éste desapareció en junio pasado, sin embargo, especialistas señalan que es probable que haya reaparecido con el nombre de Haron.
A pesar de que Avaddon se disolvió, logró robar 3 gigabytes de información sensible de la institución mexicana y los filtró en la Deep Web como nombres y detalles de juicios laborales, entre otros.
Sin embargo, analistas advirtieron que aunque cerró su blog en la Deep Web, podrían reaparecer y así ocurrió.
Víctor Ruíz, fundador de SILIKN y mentor del Centro de Ciberseguridad 05000, advirtió que surgió un nuevo grupo de ciberatacantes llamado Haron, que ha incorporado herramientas de ataque de ransomware entre las que están aquellas que usaba Avaddon.
En el caso de Haron, al parecer están incorporando en su arsenal de herramientas y tácticas variantes de ransomware anteriores como Thanos y el ahora desaparecido Avaddon, por lo que se estima que también pueda ser un grupo formado por afiliados de los grandes grupos ciberdelincuentes que se han esfumado en las últimas semanas”, aseguró el especialista en Ciberseguridad.
“Hay detalles que hacen pensar que Avaddon está detrás de Haron, por ejemplo, la interfaz web del sitio Leak de Haron es casi idéntica a la del ransomware Avaddon”.
Víctor Ruiz explicó que el ransomware Haron se descubrió por primera vez en julio de 2021 y detalló que cuando se infecta con este ransomware, la extensión del archivo cifrado se cambia al nombre de la víctima.
Agregó que están usando una nota de rescate y están operando su propio sitio de filtración similar al ransomware Avaddon. Hasta ahora solo han revelado una víctima en su sitio.
El ransomware es un software malicioso que a través de engaños “secuestra” computadoras, smartphones o servidores a los que el dueño ya no puede acceder hasta que realiza un pago que le es solicitado para poder entregarle la llave de liberación.
Por otro lado, el ejecutivo de SILIKN también advirtió que detectaron presencia en foros clandestinos de dos nuevos grupos cibercriminales que operan bajo el modelo de ransomware como servicio (RaaS): BlackMatter y Haron.
El ransomware como servicio significa que los delincuentes crean las herramientas para atacar y las vende a terceros que están interesados en realizar un ataque a usuarios o incluso instituciones gubernamentales.
Explicó que BlackMatter ha incorporado las herramientas, técnicas y metodologías de los grupos desaparecidos DarkSide, REvil, además de LockBit aunque presuntamente te han declarado que no atacarán a las organizaciones de los sectores de salud, infraestructura crítica, petróleo y gas, defensa, organizaciones sin fines de lucro y gobierno.
Un punto interesante es que la aparición de BlackMatter coincide con la desaparición de DarkSide y REvil a raíz de incidentes de ransomware altamente publicitados de Colonial Pipeline, JBS y Kaseya, lo que genera especulaciones de que los grupos eventualmente pueden cambiar de marca y resurgir bajo una nueva identidad”, dijo Ruiz.
También explicó que en el caso de REvil, por ejemplo, se especula que haya optado por retirarse al ganar suficiente dinero o que se vio acosada por las agencias de inteligencia de Estados Unidos.
Sin embargo, dijo que también está la opción de que esta desaparición fuera algo temporal y que el grupo criminal se estuviera reagrupando para reaparecer con otro nombre.