据BleepingComputer网站消息,近日,黑客组织EvilCorp为摆脱美国制裁推出了一款名为MacawLocker的新型勒索软件。黑客组织EvilCorp,在业内被称为IndrikSpider和Dridex帮派,自2007年以来一直参与网络犯罪,但一直与其他黑客组织有关联。随着时间的推移,该组织发展壮大并开始通过在网络钓鱼攻击中创建和分发名为Dridex的银行木马来独立开展自己的攻击。黑客组织EvilCorp起源于2007年,随着勒索软件攻击变得越来越有利可图,EvilCorp发起了一项名为BitPaymer的行动,将Dridex恶意软件传送到受感染的企业网络,随后进行勒索,此类犯罪活动最终导致他们受到美国政府的制裁2019年。为了规避美国的制裁,EvilCorp开始以WastedLocker、Hades、PhenoixLocker和PayloadBin等各种名称创建限制使用的勒索软件操作。不过,业内普遍认为DoppelPaymer也是该组织勒索软件家族的一员,只是没有直接证据支持这样的说法。两次MacawLocker攻击10月,Olympus和SinclairBroadcastingGroup的运营因周末勒索软件攻击而严重中断,研究人员发现这两次攻击都是由一种名为MacawLocker的新型勒索软件驱动的。发起。在其中一起勒索事件中,攻击者索要450个比特币(2800万美元赎金),另一起索要4000万美元赎金。目前尚不清楚哪家公司与每个赎金要求有关。Emsisoft首席技术官FabianWosar表示,根据研究人员对代码的分析,MacawLocker是EvilCorp勒索软件家族中的最新品牌。MacawLocker勒索软件会加密受害者的文件,并在攻击期间将.macaw扩展名附加到文件名中。在加密文件的同时,此勒索软件还会在每个文件夹中创建一个名为macaw_recover.txt的赎金票据。对于每次攻击,赎金票据都包含MacawLocker的Tor网站上唯一的受害者协商页面以及相关的解密ID或活动ID,如下所示。该团伙的暗网谈判网站MacawLocker赎金票据包含对受害者遭遇的简要描述、免费解密三个文件的工具以及与攻击者谈判的聊天框。MacawLockerTor支付谈判网站现已将MacawLocker识别为EvilCorp的变种,我们很可能会看到攻击者再次重新命名他们的勒索软件。在EvilCorp停止执行勒索软件攻击或解除制裁之前,这场正在进行的猫捉老鼠游戏可能永远不会结束,但是,这两种情况都不太可能在不久的将来发生。
