Η Evil Corp, μία από τις μεγαλύτερες malware επιχειρήσεις, ήρθε ξανά στην επικαιρότητα με τη διανομή του νέου WastedLocker ransomware. Τον Δεκέμβριο του 2019, το Υπουργείο Δικαιοσύνης των ΗΠΑ (DOJ) εξέδωσε κατηγορίες για πολλά από τα μέλη της ομάδας.
Σήμερα, κυκλοφόρησε μια έκθεση που περιγράφει τις τελευταίες δραστηριότητες της hacking ομάδας μετά τις κατηγορίες του DOJ.
Ένα σύντομο ιστορικό της Evil Corp
Η ομάδα Evil Corp, επίσης γνωστή ως Dridex gang, δραστηριοποιείται από το 2007. Νωρίτερα κάποια από τα μέλη της ομάδας ασχολούνταν με το banking trojan ZeuS αλλά αποφάσισαν να δοκιμάσουν την τύχη τους στη διανομή δικού τους κακόβουλου λογισμικού.
Αρχικά, επικεντρώθηκαν στη διανομή του banking trojan Cridex, ενός malware που εξελίχθηκε στο Dridex banking trojan και αργότερα στο Dridex multi-purpose malware toolkit.
Με τα χρόνια, η Evil Corp έγινε ένα από τα μεγαλύτερα malware και spam botnets μέσω της Dridex επιχείρησης. Η ομάδα διανέμει το δικό της κακόβουλο λογισμικό, αλλά και malware άλλων εγκληματικών ομάδων.
Επίσης, η hacking ομάδα άρχισε να διανέμει το Locky ransomware σε οικιακούς χρήστες κατά τη διάρκεια του 2016. Αργότερα, η συμμορία Evil Corp δημιούργησε ένα νέο ransomware που ονομάζεται BitPaymer.
Η ομάδα χρησιμοποίησε το τεράστιο botnet υπολογιστών της για να αναζητήσει εταιρικά δίκτυα και να αναπτύξει το BitPaymer. Αυτό συνέβαινε μεταξύ 2017 και 2019. Το 2019 άρχισαν να μειώνονται οι επιθέσεις με το BitPaymer, ενώ ταυτόχρονα και το botnet Dridex άρχισε να επιβραδύνει τη δραστηριότητά του.
Κατηγορίες από το DOJ
Η επιβράδυνση των δραστηριοτήτων τους κορυφώθηκε με τις κατηγορίες του DOJ που υποβλήθηκαν τον Δεκέμβριο του 2019. Μετά τις κατηγορίες, η ομάδα έμεινε σιωπηλή για έναν ολόκληρο μήνα, μέχρι τον Ιανουάριο του 2020. Τον Ιανουάριο ξεκίνησε ξανά κάποιες εκστρατείες, συνήθως για άλλους απατεώνες.
Το Μάιο εντοπίστηκαν νέες επιθέσεις. Η νέα εμφάνιση της ομάδας συνοδεύτηκε από νέα εργαλεία. Οι hackers δημιούργησαν ένα εντελώς νέο ransomware που αντικαθιστά το παλιό BitPaymer.
Νέο ransomware WastedLocker
Οι ερευνητές έδωσαν στο νέο ransomware το όνομα WastedLocker, βασισμένοι στην επέκταση αρχείου που προστίθεται στα κρυπτογραφημένα αρχεία. Η επέκταση, συνήθως, περιλαμβάνει το όνομα του θύματος και τη λέξη “wasted”.
Σύμφωνα με τις αναλύσεις των ειδικών, δεν υπάρχουν κοινά σημεία στον κώδικα του BitPaymer και του WastedLocker. Ωστόσο, εντοπίστηκαν ορισμένες ομοιότητες στο κείμενο που αφήνει το ransomware για να ζητήσει λύτρα.
Το WastedLocker ransomware έχει στοχεύσει αποκλειστικά εταιρείες των ΗΠΑ.
Τα λύτρα που ζητά η Evil Corp ανέρχονται σε εκατομμύρια. “Έχουμε δει να ζητούν πάνω από 10 εκατομμύρια δολάρια”, είπαν οι ερευνητές.
“Οι hackers συνήθως, χτυπούν file servers, βάσεις δεδομένων, εικονικές μηχανές και cloud περιβάλλοντα”, ανέφεραν οι ερευνητές.
Επιπλέον, η Evil Corp προσπαθεί να προκαλέσει προβλήματα στα backups και τις σχετικές υποδομές για να δυσκολέψει την ανάκαμψη των θυμάτων.
Δεν υπάρχουν στοιχεία για κλοπή δεδομένων και site διαρροής
Απ’ ότι φαίνεται, το νέο WastedLocker ransomware δεν περιλαμβάνει λειτουργίες κλοπής δεδομένων.
Τον τελευταίο καιρό, περίπου 10-15 συμμορίες ransomware μολύνουν εταιρικά δίκτυα, κλέβουν δεδομένα και, στη συνέχεια, απειλούν να δημοσιεύσουν τα αρχεία στο διαδίκτυο (site διαρροής).
Η Evil Corp δεν το κάνει αυτό (προς το παρόν τουλάχιστον). Οι ειδικοί λένε ότι η διαρροή κλεμμένων δεδομένων συνήθως τραβά την προσοχή των μέσων ενημέρωσης, κάτι που οι hackers πιθανότατα θέλουν να αποφύγουν, καθώς ορισμένα από τα μέλη βρίσκονται ήδη στη λίστα “Cyber Most Wanted” του FBI.