Η ομάδα κυβερνοεγκλήματος Evil Corp έχει πλέον μεταπηδήσει στην επιχείρηση LockBit ransomware σε δίκτυα στόχων για να αποφύγει τις κυρώσεις που επιβλήθηκαν από το Office of Foreign Assets Control (OFAC) του Υπουργείου Οικονομικών των ΗΠΑ.
Δείτε επίσης: Microsoft: Εμπόδισε επιθέσεις που έκαναν κατάχρηση του OneDrive
Ενεργή από το 2007, η Evil Corp (γνωστή και ως INDRIK SPIDER ή η συμμορία Dridex) είναι γνωστή για την προώθηση του κακόβουλου λογισμικού Dridex και αργότερα τη μετάβαση στην «επιχείρηση» του ransomware.
Η συμμορία ξεκίνησε με το Locky ransomware και στη συνέχεια ανέπτυξε το δικό της στέλεχος ransomware γνωστό ως BitPaymer μέχρι το 2019.
Δεδομένου ότι οι ΗΠΑ τους επέβαλαν κυρώσεις τον Δεκέμβριο του 2019 για τη χρήση του Dridex για την πρόκληση οικονομικών ζημιών άνω των 100 εκατομμυρίων δολαρίων, ο όμιλος μεταπήδησε στην εγκατάσταση του νέου του ransomware WastedLocker τον Ιούνιο του 2020.
Δείτε επίσης: Atlassian Confluence zero-day: Χρησιμοποιείται ενεργά σε επιθέσεις
Από τον Μάρτιο του 2021, η Evil Corp μετακόμισε σε ένα άλλο στέλεχος γνωστό ως Hades ransomware, μια παραλλαγή 64-bit του WastedLocker που αναβαθμίστηκε με πρόσθετο code obfuscation και μικρές αλλαγές στα χαρακτηριστικά.
Έκτοτε, οι απειλητικοί παράγοντες υποδύθηκαν επίσης την ομάδα hacking PayloadBin και χρησιμοποίησαν άλλα στελέχη ransomware γνωστά ως Macaw Locker και Phoenix CryptoLocker.
Ο διακόπτης LockBit
Όπως παρατήρησαν πρόσφατα αναλυτές απειλών της Mandiant, η συμμορία του εγκλήματος στον κυβερνοχώρο έχει κάνει μια άλλη προσπάθεια να αποστασιοποιηθεί από τα γνωστά εργαλεία που επιτρέπουν στα θύματα να πληρώνουν λύτρα χωρίς να αντιμετωπίζουν τους κινδύνους που συνδέονται με την παραβίαση των κανονισμών της OFAC.
Ένα σύμπλεγμα δραστηριοτήτων που παρακολουθείται από τη Mandiant ως UNC2165 (που προηγουμένως ανέπτυσσε ransomware Hades και συνδέθηκε με την Evil Corp) τώρα αναπτύσσει ransomware ως θυγατρική εταιρεία LockBit.
“Η χρήση αυτού του RaaS θα επέτρεπε στο UNC2165 να συνδυάζεται με άλλα affiliates, απαιτώντας ορατότητα σε προηγούμενα στάδια του κύκλου ζωής της επίθεσης για να αποδοθεί σωστά η δραστηριότητα, σε σύγκριση με προηγούμενες λειτουργίες που μπορεί να αποδίδονταν με βάση τη χρήση ενός αποκλειστικού ransomware“, δήλωσε ο Mandiant.
“Επιπλέον, οι συχνές ενημερώσεις κώδικα και το rebranding του HADES απαιτούσαν πόρους ανάπτυξης και είναι εύλογο ότι το UNC2165 θεώρησε τη χρήση του LOCKBIT ως μια πιο οικονομική επιλογή.”
Αυτή η νέα τακτική να ενεργεί ως operation affiliate Ransomware as a Service (RaaS) πιθανότατα θα τους επέτρεπε να επενδύσουν τον χρόνο που απαιτείται για την ανάπτυξη ransomware στη διεύρυνση των λειτουργιών ανάπτυξης ransomware της συμμορίας.
Δείτε επίσης: Το Conti ransomware είχε στοχεύσει Intel firmware για κρυφές επιθέσεις
Μια άλλη θεωρία είναι ότι η μετάβαση σε κακόβουλα εργαλεία άλλων μπορεί να παρέχει στην Evil Corp αρκετούς δωρεάν πόρους για να αναπτύξει ένα νέο στέλεχος ransomware από την αρχή, καθιστώντας δυσκολότερο για τους ερευνητές ασφαλείας να συνδεθούν με τις προηγούμενες επιχειρήσεις της συμμορίας.
Πηγή πληροφοριών: bleepingcomputer.com
