Evil Corp schakelt over op Ransomware-as-a-Service om Amerikaanse sancties te omzeilen

Evil Corp – of op zijn minst een hackgroep die eraan is gelieerd – haalt de zaken door elkaar.

Mandiant-rapporten(Opent in een nieuw venster) dat een dreigingsactor die het als UNC2165 volgt, gerelateerd lijkt te zijn aan de cybercriminaliteitsgroep, die werd gesanctioneerd(Opent in een nieuw venster) door het Amerikaanse ministerie van Financiën in 2019 voor het gebruik van “de Dridex-malware om computers te infecteren en inloggegevens van honderden banken en financiële instellingen in meer dan 40 landen te verzamelen, waardoor meer dan $ 100 miljoen aan diefstal werd veroorzaakt.”

Die sancties voorkomen dat organisaties losgeld betalen om de toegang tot hun systemen te herstellen. Financieel gemotiveerde dreigingsactoren zoals Evil Corp richten zich niet op organisaties voor de lol, of om de agenda van een natiestaat te bevorderen, dus moeten ze hun kansen om betaald te krijgen maximaliseren. Dat betekent dat ze het hun slachtoffers moeilijker moeten maken om ze te identificeren.

Daarom zegt Mandiant dat hackgroepen die zijn aangesloten bij Evil Corp de afgelopen twee jaar verschillende soorten ransomware hebben gebruikt. De groepen gebruikten aanvankelijk WastedLocker(Opent in een nieuw venster)maar nadat de connectie van ransomware met Evil Corp werd onthuld, schakelden ze over op een ransomware-familie die bekend staat als Hades(Opent in een nieuw venster). Nu zijn ze begonnen met het gebruik van een ransomware-as-a-service (RaaS) genaamd Lockbit.

Mandiant zegt dat het gebruik van een RaaS-aanbod zinvol is voor groepen die zijn aangesloten bij Evil Corp:

Aanbevolen door onze redactie

Zowel de bekendheid van LOCKBIT in de afgelopen jaren als het succesvolle gebruik ervan door verschillende dreigingsclusters maakten de ransomware waarschijnlijk tot een aantrekkelijke keuze. Door deze RaaS te gebruiken, zou UNC2165 kunnen opgaan in andere filialen, waardoor inzicht in eerdere stadia van de levenscyclus van de aanval nodig is om de activiteit correct toe te schrijven, in vergelijking met eerdere operaties die mogelijk waren toe te schrijven op basis van het gebruik van exclusieve ransomware. Bovendien vereisten de frequente code-updates en rebranding van HADES ontwikkelingsbronnen en het is aannemelijk dat UNC2165 het gebruik van LOCKBIT als een meer kosteneffectieve keuze zag.

Het bedrijf zegt te verwachten dat soortgelijke groepen “stappen als deze nemen om hun identiteit te verdoezelen om ervoor te zorgen dat het geen beperkende factor is voor het ontvangen van betalingen van slachtoffers.” Sancties zullen dus waarschijnlijk niet voorkomen dat ransomware-bendes meer organisaties achterna gaan, maar ze maken het deze cybercriminelen in ieder geval moeilijker.

Meer informatie over hoe Mandiant de punten tussen UNC2165 en Evil Corp verbond, evenals details over de activiteiten van de hackgroep, is beschikbaar via het rapport van het bedrijf.

SecurityWatch<\/strong> newsletter for our top privacy and security stories delivered right to your inbox.”,”first_published_at”:”2021-09-30T21:22:09.000000Z”,”published_at”:”2022-03-24T14:57:33.000000Z”,”last_published_at”:”2022-03-24T14:57:28.000000Z”,”created_at”:null,”updated_at”:”2022-03-24T14:57:33.000000Z”})” x-show=”showEmailSignUp()” class=”rounded bg-gray-lightest text-center md:px-32 md:py-8 p-4 mt-8 container-xs”>

Zoals wat je leest?

Meld je aan voor SecurityWatch nieuwsbrief voor onze belangrijkste verhalen over privacy en beveiliging, rechtstreeks in uw inbox.

Deze nieuwsbrief kan advertenties, aanbiedingen of gelieerde links bevatten. Als u zich abonneert op een nieuwsbrief, geeft u aan dat u akkoord gaat met onze gebruiksvoorwaarden en ons privacybeleid. U kunt zich op elk moment afmelden voor de nieuwsbrieven.

Leave a Reply

Your email address will not be published.