网络犯罪集团使用LockBit勒索软件来逃避对LockBit勒索软件的制裁。MandiantIntelligence的研究人员一直在追踪一个以经济犯罪为动机的网络威胁环,他们将其命名为UNC2165,它与EvilCorp有许多相似之处,很可能是该组织的最新身份。在周四发布的一份报告中,研究人员写道,UNC2165正在使用FakeUpdates感染链获取对目标网络的访问权限,然后使用LockBit勒索软件获取赎金。他们写道,该活动似乎是EvilCorp攻击者的另一个新攻击媒介。研究人员写道,许多调查报告都报道了相关攻击的最新进展,包括开发新的勒索软件和减少对Dridex的依赖。虽然这些方法可以很好地隐藏攻击者的身份,但UNC2165和EvilCorp在攻击操作上还是有明显的相似之处。美国财政部外国资产控制办公室(OFAC)于2019年12月对EvilCorp实施制裁,以广泛打击该多角色网络犯罪集团传播上述窃取信息的Dridex恶意软件及其以其WastedLocker勒索软件而闻名的恶意软件。制裁实质上禁止任何美国实体与该组织开展业务或与该组织建立任何联系,有效地阻止了美国金融公司为该组织的赎金支付提供便利,并限制了它们从犯罪活动中获利。HiddenCyber??criminalsEvilCorp在其领导人受到一系列制裁和随后的起诉后暂时松了一口气,但此后继续其恶毒的活动,采用巧妙的新品牌。事实上,其最近的身份变更并不是该组织第一次使用不同的身份来试图规避对其的制裁。据报道,大约一年前,EvilCorp试图通过使用一种名为PayloadBin的勒索软件来隐藏其身份,研究人员发现该勒索软件可能是该组织WastedLocker勒索软件的最新版本。此前,该组织在OFAC制裁后不久再次出现,并采取新的攻击策略试图隐藏其身份。他们使用HTML重定向器或使用元刷新标签将用户重定向到另一个网站,然后使用恶意Excel文件来传递有效负载。最新攻击的身份根据Mandiant的说法,EvilCorp的最新活动几乎完全是在一个名为UNC1543的组织的支持下进入受害者网络的,因为攻击中使用的FakeUpdates工具与该组织密切相关。在政府起诉EvilCorp之前的几个月里,这种方法被用作Dridex和BitPaymer以及DoppelPaymer勒索软件的初始感染媒介。研究人员说,EvilCorp最近还部署了其他勒索软件,尤其是Hades。他们说,Hades的代码和功能与其他勒索软件有许多相似之处,研究发现该工具与与EvilCorp相关的威胁行为者密切相关。研究人员表示,使用其他勒索软件确实能让EvilCorp保持相当隐蔽。然而,他们说,LockBit比Hades更适合,因为它使用了近年来才出现的RaaS模型。事实上,LockBit在去年已经拿下了埃森哲和曼谷航空公司等一些大牌目标。研究人员写道,使用这种RaaS模型可能会使UNC2165更难与其他网络攻击组织区分开来。此外,频繁的代码更新和品牌重塑需要大量的开发资源投入。UNC2165认为使用LOCKBIT是一个性价比更高的选择,值得。一位安全专家指出,此举是有道理的。因为勒索软件运营商像其他商业领袖一样看待他们的业务,所以他们也必须不断发展以保持领先地位并保持领先于其他人。盈利是有道理的。安全研究员JamesMcQuiggan在给媒体的一封电子邮件中表示,对于网络犯罪分子来说,他们需要不断开发自己的应用程序和加密功能,避免被系统检测到,并使用各种方法进行勒索。他说,鉴于这种观点,EvilCorp将使用其他勒索软件来维持其在市场上的地位,更重要的是,这样做是为了获得报酬。由于EvilCorp会躲避其他勒索软件组织的活动,目标很可能会支付高额的勒索费用,他们也不用担心政府对真正的肇事者进行法律制裁。文章翻译自:https://threatpost.com/evil-corp-pivots-to-lockbit-to-dodge-u-s-sanctions/179858/如有转载请注明出处。
