Hackers da Evil Corp desenvolvem táticas de ransomware para evitar sanções dos EUA – TechCrunch

O grupo cibercriminoso com sede na Rússia conhecido como Evil Corp mudou para um modelo de ransomware como serviço em um esforço para contornar as sanções dos EUA, de acordo com pesquisa da empresa de segurança cibernética. Mandiant.

O Escritório de Controle de Ativos Estrangeiros do Tesouro dos EUA, ou OFAC, sancionou a Evil Corp em dezembro de 2019, citando o extenso desenvolvimento do grupo de malware Dridexque a gangue usou para roubar mais de US$ 100 milhões de centenas de bancos e instituições financeiras.

Desde então, os pesquisadores da Mandiant observaram várias invasões de ransomware atribuídas a um agente de ameaças que rastreou como um grupo de ameaças ainda não categorizado apelidado de UNC2165, que a empresa de inteligência de ameaças diz compartilhar “numerosas sobreposições” com a Evil Corp e provavelmente representa outro evolução nas operações dos atores afiliados da Evil Corp.

UNC2165 é um grupo que a Mandiant acompanha desde 2019, que obtém acesso quase exclusivamente a redes por meio de uma cadeia de infecção que a Mandiant chama de “FakeUpdates”, na qual as vítimas são induzidas a abrir sob o pretexto de uma atualização do navegador. Essa foi uma tática também usada como vetor de infecção para infecções Dridex e mais tarde foi usada por invasores da Evil Corp para implantar BitPaymer e WastedLocker, duas variantes de ransomware desenvolvidas pelo grupo de hackers sancionado.

O UNC2165 também implantou o ransomware Hades, que possui código e semelhanças funcionais com outros ransomware que se acredita estarem associados a agentes de ameaças afiliados à Evil Corp. Da mesma forma, os pesquisadores da Mandiant também encontraram sobreposições na infraestrutura, acrescentando que os servidores de comando e controle atribuídos ao UNC2165 também foram relatados publicamente por outros fornecedores de segurança em associação com atividades suspeitas da Evil Corp.

A Mandiant diz que também observou o agente da ameaça usando o LockBit, uma operação proeminente de ransomware como serviço, permitindo que o agente da ameaça se misture com outros afiliados. Embora esta não seja a primeira vez que vimos a Evil Corp mudar suas táticas para evitar sanções, Mandiant observa que a mudança para um modelo de ransomware como serviço oculta efetivamente as outras partes criminosas que podem ter selecionado o alvo e realizado a intrusão, permitindo que os hackers aproveitem o modelo para realizar suas operações no anonimato.

“Com base nas sobreposições entre UNC2165 e Evil Corp, avaliamos com alta confiança que esses atores deixaram de usar variantes exclusivas de ransomware para LockBit em suas operações, provavelmente dificultando os esforços de atribuição para evitar sanções”, disse o relatório. “A adoção do ransomware existente é uma evolução herbal para o UNC2165 tentar obscurecer sua afiliação com a Evil Corp. às operações anteriores da Evil Corp.”

A notícia de outra evolução da Evil Corp vem apenas alguns dias após a extinta gangue de ransomware REvil – que no passado foi vinculada a atividades atribuídas à Evil Corp – reivindicou a responsabilidade por uma campanha distribuída de negação de serviço contra um cliente do provedor de rede em nuvem Akamai. No entanto, os pesquisadores disseram que é altamente possível que o ataque não seja um ressurgimento do infame grupo cibercriminoso, mas sim uma operação imitadora.