Evil Corpのハッカーは、米国の制裁をかわすためのランサムウェア戦術を開発します– TBEN

サイバーセキュリティ会社Mandiantの調査によると、ロシアを拠点とするEvil Corpとして知られるサイバー犯罪グループは、米国の制裁を回避するために、サービスとしてのランサムウェアモデルに切り替えました。

米国財務省外国資産管理局(OFAC)は、ギャングが犯罪者から1億ドル以上を盗んだDridexマルウェアのグループによる広範な開発を理由に、2019年12月にEvilCorpを認可しました。 何百もの銀行や金融機関。

それ以来、マンディアントの研究者は、UNC2165と呼ばれるまだ分類されていない脅威グループとして追跡した脅威アクターに起因するランサムウェアの侵入を観察しました。 EvilCorp系列のプレーヤーの運用における進化。

UNC2165は、2019年からマンディアントによって追跡されているグループであり、マンディアントが「FakeUpdates」と呼ぶ一連の感染を通じてネットワークへのアクセスをほぼ独占的に取得しています。 ブラウザの日。 これは、Dridex感染の感染ベクトルとしても使用される戦術であり、後にEvil Corpの攻撃者が、認可されたハッキン​​ググループによって開発された2つのランサムウェアバリアントであるBitPaymerとWastedLockerを展開するために使用されました。

UNC2165は、Hadesランサムウェアも導入しました。これは、Evil Corpに関連する脅威アクターに関連付けられている疑いのある他のランサムウェアとコードと機能が類似しています。同様に、Mandiantの研究者もインフラストラクチャに重複があることを発見し、UNC2165に起因するコマンドアンドコントロールサーバーも公開されています。疑わしい攻撃活動に関連して他のセキュリティベンダーによって報告されました。 ‘Evil Corp.

Mandiantは、サービスとしての主要なランサムウェア操作であるLockBitを使用して脅威アクターを観察し、脅威アクターが他のアフィリエイトと融合できるようにしたと述べています。 Evil Corpがペナルティを回避するために戦術を変更するのはこれが初めてではありませんが、Mandiantは、サービスとしてのランサムウェアモデルへの移行により、ターゲットを選択して実行した可能性のある他の犯罪者を効果的に隠すことができると述べています。侵入。ハッカーがモデルを利用して匿名で操作を実行できるようにします。

「UNC2165とEvilCorpの重複に基づいて、これらの攻撃者が独自のLockBitランサムウェアの亜種を運用に使用しなくなったことを確信を持って評価します。これにより、制裁を回避するためのアトリビューションの取り組みが妨げられる可能性があります」とレポートは述べています。 「既存のランサムウェアの採用は、UNC2165がEvil Corpとの提携を隠そうとする自然な進化です。その採用により、俳優は一時的に新しいランサムウェアをゼロから開発する時間を増やすことができ、研究者が安全に以前のランサムウェアにリンクできるようになります。 EvilCorp.の運営。

別のEvilCorp開発のニュースは、以前はEvil Corpに起因する活動にリンクされていた元ランサムウェアギャングREvilが、拒否キャンペーンの責任を主張した数日後に発生します。 クラウドネットワークプロバイダーAkamaiの顧客に対する分散サービスの評価。 しかし、研究者たちは、攻撃が悪名高いサイバー犯罪グループの復活ではなく、模倣作戦であった可能性が非常に高いと述べました。

Leave a Comment

%d bloggers like this: