Η Evil Corp χρησιμοποιεί νέο κακόβουλο λογισμικό Macaw για επιθέσεις ransomware

Helga SmithΟκτώβριος 22, 2021Τελευταία ενημέρωση: Οκτώβριος 24, 2021

127 2 ανάγνωση λεπτών

Η ομάδα χάκερ Evil Corp (γνωστός και ως Indrik Spider and Dridex) άρχισε να χρησιμοποιεί το νέο Macaw Locker (ή απλά Macaw) κακόβουλο λογισμικό για επιθέσεις. Οι ειδικοί το αποδίδουν στις αμερικανικές κυρώσεις, που δεν επιτρέπουν στα θύματα να πληρώνουν λύτρα στους επιτιθέμενους.

Οι ερευνητές υπενθυμίζουν ότι το Evil Corp υπάρχει τουλάχιστον από τότε 2007, αλλά στην αρχή οι χάκερ ενήργησαν συχνότερα ως συνεργάτες άλλων ομάδων. Μόνο αργότερα η Evil Corp άρχισε να επικεντρώνεται στις δικές της επιθέσεις, δημιουργώντας το γνωστό τραπεζικό Trojan Dridex.

Στο περασμα του χρονου, καθώς οι επιθέσεις ransomware άρχισαν να αποφέρουν περισσότερα έσοδα, Η Evil Corp κυκλοφόρησε το δικό της ransomware BitPaymer, παραδίδοντάς το στα θύματα’ μηχανές μέσω Dridex. Ο τελευταίος εξελίχθηκε σταδιακά από κοινός τραπεζίτης σε ένα πολύπλοκο και πολυλειτουργικό εργαλείο.

Τελικά, οι δραστηριότητες της ομάδας τράβηξαν την προσοχή των αμερικανικών αρχών. Σε 2019, τις αμερικανικές αρχές απήγγειλε κατηγορίες εναντίον δύο Ρώσων που, σύμφωνα με αξιωματούχους επιβολής του νόμου, ήταν πίσω από την ανάπτυξη του κακόβουλου λογισμικού Dridex και άλλων κακόβουλων λειτουργιών. Επίσης, οι αμερικανικές αρχές επέβαλαν κυρώσεις σε 24 οργανώσεις και άτομα που σχετίζονται με το Evil Corp και τους αναφερόμενους υπόπτους.

Σαν άποτέλεσμα, διαπραγματευτικές εταιρείες, που συνήθως διαπραγματεύονται πληρωμές λύτρων και αποκρυπτογράφηση δεδομένων με εκβιαστές, αρνήθηκα να “εργασία” με την Evil Corp για αποφυγή προστίμων και μηνύσεων από το Υπουργείο Οικονομικών των ΗΠΑ.

Σε απάντηση, Η Evil Corp άρχισε να μετονομάζει τις λειτουργίες ransomware και συγκάλυψης για να αποφύγει τις κυρώσεις. Για παράδειγμα, το οπλοστάσιο του ομίλου περιλαμβάνει τέτοιου είδους ransomware όπως το WastedLocker, Άδης και Φοίνιξ, και PayloadBIN. Η Evil Corp πιστεύεται επίσης ότι βρίσκεται πίσω από το πρόσφατα μετονομάστηκε ransomware DoppelPaymer που ονομάστηκε Grief (ή Πληρωμή ή Θλίψη).

Πρόσφατες επιθέσεις σε Άλυμπος και Ομάδα εκπομπής Sinclair έχουν συνδεθεί με το ίδιο ransomware Macaw Locker, που φαίνεται να είναι το νέο πνευματικό τέκνο της Evil Corp., Υπολογιστής ύπνου τώρα αναφέρει.

Η ανάλυση του κώδικα Macaw δείχνει ξεκάθαρα ότι το κακόβουλο λογισμικό είναι μια άλλη «rebranding».’ του Evil Corp. οικογένεια κακόβουλου λογισμικού. Προφανώς, ενώ η Olympus και ο Sinclair είναι τα μόνα θύματα του νέου κακόβουλου λογισμικού.Ο CTO της Emsisoft Fabian Vosar είπε στους δημοσιογράφους.

Άλλες ανώνυμες πηγές στον κλάδο της κυβερνοασφάλειας μοιράστηκαν με τη δημοσίευση τις προσωπικές σελίδες των θυμάτων του Macaw, όπου οι επιτιθέμενοι ζητούν λύτρα στο ποσό των 450 bitcoins ($28 εκατομμύριο) για μια επίθεση και $40 εκατομμύρια για ένα άλλο. Δεν είναι ακόμη σαφές ποια εξαγορά ισχύει για ποια εταιρεία.

Ο ιστότοπος darknet της ομάδας περιέχει μόνο μια σύντομη περιγραφή του τι συνέβη στο θύμα, ένα εργαλείο για την αποκρυπτογράφηση τριών αρχείων δωρεάν, και ένα σύνδεσμο προς μια αίθουσα συνομιλίας για να μιλήσετε με τους επιτιθέμενους.

νέο κακόβουλο λογισμικό Macaw