據(jù)Bleeping Computer網(wǎng)站披露，黑客組織Evil Corp為擺脫美國(guó)制裁，在近日推出名為Macaw Locker的新型勒索軟件。

[[430526]]

黑客組織Evil Corp，業(yè)界又稱(chēng)其Indrik Spider 和 Dridex 團(tuán)伙，自2007年以來(lái)一直參與網(wǎng)絡(luò)犯罪活動(dòng)，但一直都是作為其他黑客組織的附屬。隨著時(shí)間的推移，該組織不斷壯大后，開(kāi)始通過(guò)在網(wǎng)絡(luò)釣魚(yú)攻擊中創(chuàng)建和分發(fā)一種名為Dridex的銀行木馬，獨(dú)立實(shí)施網(wǎng)絡(luò)自己的攻擊行為。

黑客組織Evil Corp 起源于2007年

隨著勒索軟件攻擊變得越來(lái)越有利可圖，Evil Corp發(fā)起了一項(xiàng)名為 BitPaymer 的操作，該操作通過(guò) Dridex 惡意軟件傳送到受感染的公司網(wǎng)絡(luò)，之后進(jìn)行勒索行為，這樣的犯罪活動(dòng)最終導(dǎo)致他們?cè)?019年受到美國(guó)政府的制裁。

為了繞過(guò)美國(guó)的制裁，Evil Corp開(kāi)始以 WastedLocker、Hades、Phenoix Locker 和 PayloadBin 等各種名稱(chēng)創(chuàng)建有限使用的勒索軟件操作。

但是業(yè)界普遍認(rèn)為DoppelPaymer也是該組織勒索軟件家族的成員，但沒(méi)有直接的證據(jù)表明這樣的說(shuō)法。

Macaw Locker兩次攻擊行為

十月份， 奧林巴斯和辛克萊廣播集團(tuán)的運(yùn)營(yíng)受到周末勒索軟件攻擊的嚴(yán)重干擾，研究人員發(fā)現(xiàn)這兩次攻擊都是由一種名為 Macaw Locker 的新型勒索軟件發(fā)起的。其中一次勒索事件中，攻擊者要求450比特幣(2800萬(wàn)美元贖金)，另一次攻擊要求支付4000 萬(wàn)美元贖金，目前尚不清楚每個(gè)贖金要求與哪家公司相關(guān)。

Emsisoft首席技術(shù)官 Fabian Wosar 稱(chēng)，根據(jù)研究人員對(duì)代碼分析，Macaw Locker 是 Evil Corp 勒索軟件系列的最新品牌。

Macaw Locker勒索軟件在進(jìn)行攻擊時(shí)，會(huì)加密受害者的文件并在文件名后附加 .macaw擴(kuò)展名。在加密文件時(shí)，該勒索軟件還將在每個(gè)文件夾中創(chuàng)建名為macaw_recover.txt的贖金筆記。每次攻擊，贖金筆記包含Macaw Locker的Tor網(wǎng)站上一個(gè)獨(dú)特的受害者談判頁(yè)面和一個(gè)相關(guān)的解密ID，或活動(dòng)ID，，如下所示。

Macaw Locker 贖金記錄

該團(tuán)伙的暗網(wǎng)談判網(wǎng)站，包含對(duì)受害者遭遇的簡(jiǎn)要介紹，一個(gè)免費(fèi)解密三個(gè)文件的工具，以及一個(gè)與攻擊者談判的聊天框。

Macaw Locker Tor 付款談判網(wǎng)站

現(xiàn)在已經(jīng)確定Macaw Locker是Evil Corp的一個(gè)變種，后續(xù)我們很可能會(huì)看到攻擊者再次重新命名他們的勒索軟件。

在 Evil Corp 停止執(zhí)行勒索軟件攻擊或取消制裁之前，這種持續(xù)不斷的貓捉老鼠游戲可能永遠(yuǎn)不會(huì)結(jié)束，然而，這兩種情況都不太可能在不久的將來(lái)發(fā)生。