Evil Corp siber suç grubu, ABD Hazine Departmanı Dış Varlık Kontrolü (OFAC) tarafından getirilen yaptırımlardan kaçınmak için hedeflerin ağlarına Lockbit fidye yazılımlarını dağıtmaya geçti.
2007'den beri aktif olan Evil Corp (diğer adıyla Indrik Spider veya Dridex Gang), Dridex kötü amaçlı yazılımları itmek ve daha sonra fidye yazılımına "iş" e geçiş yapmak için bilinmektedir.
Çete, Locky Fidye yazılımı ile başladı ve daha sonra 2019'a kadar Bitpaymer olarak bilinen kendi fidye yazılımı suşunu konuşlandırdı.
ABD, Aralık 2019'da DRIDEX'i 100 milyon doların üzerinde mali zarara neden olmak için kullandıkları için onayladığından beri, grup Haziran 2020'de yeni boşalmacı fidye yazılımlarını kurmaya geçti.
Mart 2021'den itibaren, Evil Corp, ek kod gizlemesi ve küçük özellik değişiklikleri ile yükseltilen 64 bitlik bir boşaltma makinesi varyantı olan Hades fidye yazılımı olarak bilinen başka bir suşa taşındı.
O zamandan beri, tehdit aktörleri de taşıma basılı hackleme grubunu taklit ettiler ve Macaw Locker ve Phoenix CryptoLocker olarak bilinen diğer fidye yazılımı suşlarını kullandı.
Maniant tehdidi analistlerinin yakın zamanda gözlemlediği gibi, siber suçlu çetesi, kurbanların OFAC düzenlemelerini ihlal etme riskleriyle karşılaşmadan fidye ödemelerine izin vermek için kendilerini bilinen araçlardan uzaklaştırmak için başka bir girişimde bulundu.
Mantiant tarafından UNC2165 (daha önce Hades fidye yazılımını dağıtmak ve Evil Corp'a bağlı olarak) olarak izlenen bir etkinlik kümesi artık fidye yazılımını bir Lockbit bağlı kuruluşu olarak dağıtıyor.
Mantiant, "Bu RAAS'ın kullanılması, UNC2165'in diğer bağlı kuruluşlarla karışmasına izin verecek ve saldırı yaşam döngüsünün önceki aşamalarına görünürlüğe, özel bir fidye yazılımının kullanımına bağlı olarak atfedilebilecek önceki işlemlere kıyasla etkinliği düzgün bir şekilde ilişkilendirecek" dedi. .
"Buna ek olarak, Hades'in sık kod güncellemeleri ve yeniden markalanması, geliştirme kaynakları gerektiriyor ve UNC2165'in Lockbit'in daha uygun maliyetli bir seçim olarak kullanılmasını görmesi mantıklı."
Bir Hizmet Olarak Fidye Yazılımı Olarak Harekete Geçme Taktiği (RAAS) Operasyon İştiriği, çetenin fidye yazılımı dağıtım işlemlerini genişletmeye yönelik fidye yazılımı geliştirme için gereken zamanı yatırmalarına izin verecektir.
Başka bir teori, başkalarının kötü niyetli araçlarına geçişin, Sıfırdan yeni bir fidye yazılımı gerginliği geliştirmek için Evil Corp'a yeterli ücretsiz kaynak sağlayabileceği ve güvenlik araştırmacılarının çetenin önceki operasyonlarına bağlanmasını zorlaştırmasıdır.
Mantiant, "Bu aktörlerin yanı sıra gelecekte yaptırım uygulanan diğerlerinin, mağdurlardan ödeme almanın sınırlayıcı bir faktör olmamasını sağlamak için kimliklerini gizlemek için bunlar gibi adımlar atmalarını bekliyoruz."
Ransomware'de Hafta - 3 Haziran 2022 - Yaptırımlardan Kaçınma
Fidye Yazılımında Hafta - 6 Mayıs 2022 - Gelişen bir manzara
Conti, Revil, Lockbit fidye yazılımı hataları, şifrelemeyi engellemek için sömürüldü
Ransomware'de Hafta - 15 Nisan 2022 - Rusya'yı Şifreleme
Lockbit fidye yazılımı çetesi aylarca bir ABD gov ağında gizlendi
Kaynak: Bleeping Computer