Expertos en TI de Fox hablado de la última actividad del famoso grupo de hackers Evil Corp. Según analistas, el grupo volvió a la vida en enero de este año y realizó varias campañas maliciosas, y luego reanudó completamente la actividad con nuevas herramientas – como el ransomware WastedLocker.
Permítanme recordarles que el grupo Evil Corp es considerado uno de los ciberdelincuentes más activos y arrogantes.. Para información sobre sus miembros, El gobierno de Estados Unidos ha establecido un recompensa de $5 millón, y los medios de comunicación a menudo discuten rumores sobre su lujoso estilo de vida y posibles conexiones con los servicios especiales rusos..
Corporación malvada, también conocido como dridex, ha estado activo desde aproximadamente 2007, cuando varios piratas informáticos previamente asociados con el troyano bancario ZeuS decidieron probar suerte propagando malware.
"En primer lugar, el grupo se centró en distribuir el troyano bancario Cridex, que luego se convirtió en el banquero Dridex, e incluso más tarde en el kit de herramientas malicioso multipropósito Dridex”., – dijeron los expertos de Fox-IT.
Gracias a Dridex, una de las mayores botnets para distribuir malware y spam estaba a disposición del grupo. De esta forma, Evil Corp distribuyó tanto su propio malware como el malware para otros grupos criminales., así como mensajes de spam personalizados.
En 2016, el grupo también comenzó a distribuir ransomware, comenzando con locky. Sin embargo, a medida que el enfoque del ransomware comenzó a desplazarse de los consumidores domésticos a los objetivos corporativos, Evil Corp también recurrió a la situación y creó un nuevo ransomware extorsionista BitPaymer.
“Evil Corp utilizó su gigantesca botnet de dispositivos infectados con Dridex para buscar redes corporativas., y luego implementaron BitPaymer en las redes de las empresas más grandes que pudieron encontrar”, — Los investigadores de Fox-IT cuentan la historia de Evil Corp..
BitPaymer se utilizó activamente entre 2017 y 2019, pero luego los ataques poco a poco empezaron a cesar. Las razones de esta disminución aún no están claras., pero podría deberse al hecho de que la botnet Dridex también “se desaceleró” entre 2017 y 2019.
Fox-IT escribe que esta caída en la actividad del grupo terminó después de que EE.UU.. Departamento de Justicia acusaciones en rebeldía contra miembros de Evil Corp en diciembre 2019. Después de eso, Los hackers guardaron silencio durante casi un mes., hasta enero 2020, pero luego retomaron la actividad y realizaron varias campañas maliciosas, principalmente para otros estafadores.
en la primavera de 2020, Evil Corp nuevamente “volvió a la vida” y esta vez con nuevas herramientas. Según los investigadores, el grupo desarrolló un nuevo ransomware WastedLocker para reemplazar el obsoleto BitPaymer, que se ha utilizado desde principios de 2017.
Según los investigadores, este malware fue escrito desde cero, y el análisis del nuevo ransomware casi no mostró signos de reutilización de código y otras similitudes entre BitPaymer y WastedLocker. Algunos paralelos sólo se pueden ver en el texto de la nota de rescate..
Los expertos de Fox-IT rastrean el uso de WastedLocker desde mayo 2020. segun ellos, Hasta ahora, el ransomware se ha utilizado exclusivamente contra empresas estadounidenses., y la cantidad de rescates que Evil Corp exige a las víctimas asciende ahora a millones de dólares. Por ejemplo, Los investigadores conocen un caso donde los piratas informáticos solicitaron $10,000,000 de una empresa. Basado en datos de VirusTotal, Los analistas dicen que WastedLocker se ha utilizado según lo previsto al menos cinco veces..
“Los operadores de Evil Corp son muy agresivos al implementar el nuevo ransomware WastedLocker: normalmente atacan servidores de archivos, servicios de bases de datos, maquinas virtuales, y entornos de nube. El grupo también busca alterar el funcionamiento de las aplicaciones de respaldo y la infraestructura relacionada., eso es, en todos los sentidos dificulta la recuperación de información para las empresas afectadas”, – dijeron los expertos de Fox-IT.
Al mismo tiempo, Evil Corp no hace lo que ahora está de moda entre otros grupos de extorsión: WastedLocker no puede robar datos antes de cifrarlos. Déjame recordarte que actualmente 10 de 15 Los grupos de hackers infectan las redes empresariales., robar datos confidenciales, y solo después de eso cifrar archivos, y también amenazan con publicar datos robados en el dominio público (en sus propios sitios o sitios para compartir archivos).
Tácticas similares, por ejemplo, utilizar el grupo Sodinokibi (REVOLVER).
Hasta ahora, Evil Corp no ha hecho nada parecido, y los expertos de Fox-IT creen que esta es una decisión bien informada. El hecho es que el «húmedo» de datos robados suele atraer mucha atención de los medios, que a los miembros de Evil Corp probablemente les gustaría evitar, porque algunos miembros del grupo ya están en la lista de los criminales más buscados del FBI.
