Evil Corp alterou suas táticas mais uma vez, desta vez concentrando-se no LockBit ransomware, já que as sanções dos EUA tornaram difícil para o grupo criminoso de computadores obter lucro de seus esquemas, de acordo com a descoberta de estudiosos.
Os especialistas da Mandiant observam um conjunto de ameaças que têm um motivo financeiro, que eles denominam de UNC2165, que possui diversos elementos em comum com o Evil Corp e é muito provável que seja a forma mais recente desse grupo.
UNC2165 está usando uma formação de infecção FakeUpdates para penetrar as redes alvo, segundo um relatório divulgado na quinta-feira. Tal ação parece ser “uma nova etapa nas operações de agentes conectados à Evil Corp”, conforme consta no documento. Desta vez, o ransomware LockBit parece ser a ferramenta empregada.
Relatórios foram publicados que mostram o avanço das atividades vinculadas às cibersegurança, como o aperfeiçoamento de famílias de ransomware e uma diminuição na dependência de Dridex. Embora esses esforços pareçam obscurecer a atribuição, o UNC2165 apresenta a mesma característica de operações atribuídas ao Evil Corp.
chsyys/DepositPhotos
O Escritório de Controle de Ativos Estrangeiros do Departamento de Tesouro dos Estados Unidos (OFAC) impôs sanções à Evil Corp em dezembro de 2019, por causa da atividade criminosa amplamente reconhecida do grupo, particularmente pelo malware Dridex de roubo de informações e, mais tarde, pelo seu próprio ransomware WastedLocker.
As sanções proíbem qualquer entidade norte-americana de estabelecer qualquer relação comercial ou associativa com a Evil Corp, impossibilitando as empresas de negociação de ransomware de prestar assistência ao grupo para pagamentos de resgate e, portanto, reduzindo drasticamente seus ganhos com a prática de atos ilícitos.
Os cibercriminosos que alteram de forma são aqueles que aplicam técnicas para alterar sua aparência virtual para fins maliciosos.
MalCorp teve uma interrupção curta após as sanções e um indiciamento seguinte de seus líderes, mas desde então usou uma estratégia de renovação de imagem inteligente para manter suas atividades malignas.
Na verdade, o mais recente movimento do grupo não é a primeira vez que eles optaram por usar uma identidade diferente para tentar evitar as punições que sofriam. Aproximadamente há um ano, a Evil Corp tentou se esconder através de um ransomware anteriormente desconhecido chamado PayloadBin, o qual pesquisadores acreditam ser uma remarca de seu próprio ransomware, o WastedLocker, de acordo com os relatórios.
Antes das punições impostas pelo OFAC, o grupo foi revitalizado por curto tempo, com novas estratégias para disfarçar suas ações, empregando redirecionadores HTML de ferramenta de ameaça ou código que usa meta tags de atualização para dirigir usuários a outro site para liberar conteúdos maliciosos de arquivos do Excel.
A mais recente reencarnação da franquia de videogames.
A mais recente atividade do Evil Corp “quase exclusivamente” obteve acesso às redes das vítimas por trás de um grupo conhecido como UNC1543, que usa FakeUpdates como vetor de infecção inicial para Dridex, BitPaymer e DoppelPaymer. Isso foi indicado pelo Mandiant. Nos meses anteriores aos governos de Evil Corp, este método foi usado.
Maligna Corp também está introduzindo outro ransomware – particularmente Hades – em suas operações como UNC2165, segundo os pesquisadores. “Hades tem ligações de código e similares com outros ransomware acreditados de estar conectados a agentes de ameaça afiliados à Maligna Corp”, disseram.
A adoção de um novo ransomware é, de fato, um desenvolvimento lógico para esta organização criminosa emergente, permitindo-lhes separar-se de Evil Corp, disseram os estudiosos.
No entanto, LockBit, que tem crescido em destaque nos últimos anos, é uma adição natural a Hades, devido ao seu modelo RaaS. Na verdade, LockBit tem derrotado algumas empresas de grande porte, como Accenture e Bangkok Air, no ano anterior.
Os pesquisadores notaram que, com o uso do RaaS, o UNC2165 poderia se fundir a outros afiliados. Além disso, devido às frequentes atualizações e rebranding do HADES, os recursos de desenvolvimento eram necessários e era provável que o UNC2165 tivesse visto a utilização do LOCKBIT como uma opção mais econômica.
Faz todo o sentido fazer esse movimento, visto que é uma maneira de exercer sua insatisfação e, ainda, de mostrar a força que a população tem.
Uma vez que os cibercriminosos que usam ransomware tratem suas atividades como qualquer outro líder de negócios, é esperado que eles estejam à frente do jogo e mantenham seus lucros, assim como qualquer outra pessoa, comentou um especialista em segurança.
James McQuiggan, Defensor de Consciência de Segurança da empresa KnowBe4, descreveu a atividade dos cibercriminosos como “semelhante a um conceito”. Ele explicou que eles têm que desenvolver regularmente novas aplicações e criptografia para evitar a detecção e obter lucros por meio de extorsão, usando várias técnicas.
Dada esta perspectiva, não é surpreendente que a Evil Corp esteja aumentando outros ransomware para continuar a ser considerável e a receber pagamentos, afirmou. E com a Evil Corp a gerir a atividade de outros grupos ransomware, objetivos provavelmente pagam uma taxa de extorsão, pois não estarão cientes das punições governamentais contra os verdadeiros autores do delito, segundo McQuiggan.
Mande esse artigo para alguém.
- Cordialmente, gostaria de lhe solicitar um favor.
- Malware é um programa mal intencionado que pode ser usado para obter dados confidenciais.
