研究人員發(fā)現(xiàn)，由于美國(guó)的制裁，使得該網(wǎng)絡(luò)犯罪集團(tuán)難以從其攻擊活動(dòng)中獲得經(jīng)濟(jì)利益后，該犯罪集團(tuán)再次改變了攻擊策略，這次轉(zhuǎn)向使用了LockBit勒索軟件。

Mandiant Intelligence的研究人員一直在追蹤一個(gè)有經(jīng)濟(jì)犯罪動(dòng)機(jī)的網(wǎng)絡(luò)威脅團(tuán)伙，他們被稱之為UNC2165，它與Evil Corp有許多相似之處，這很可能是該集團(tuán)最新的身份。

研究人員在周四發(fā)表的一份報(bào)告中寫道，UNC2165正在使用FakeUpdates感染鏈來(lái)獲得對(duì)目標(biāo)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，然后使用LockBit勒索軟件來(lái)獲得贖金。他們寫道，這項(xiàng)攻擊活動(dòng)似乎是Evil Corp攻擊者的另一種新的攻擊方式。

研究人員寫道，許多調(diào)查報(bào)告都報(bào)道了相關(guān)攻擊活動(dòng)的最新進(jìn)展，包括開(kāi)發(fā)新的勒索軟件并且減少對(duì)Dridex的依賴程度，盡管這些方式能夠很好的隱藏攻擊者的身份，但UNC2165與Evil Corp的攻擊行動(dòng)還是有很明顯的相似之處。

美國(guó)財(cái)政部外國(guó)資產(chǎn)管制處（OFAC）于2019年12月制裁了Evil Corp，對(duì)這個(gè)作案多起的網(wǎng)絡(luò)犯罪集團(tuán)進(jìn)行了廣泛的打擊，該集團(tuán)由于傳播上述用以竊取信息的Dridex惡意軟件和他們自己的WastedLocker勒索軟件而聞名。

該制裁措施基本上禁止了任何美國(guó)實(shí)體與該集團(tuán)進(jìn)行貿(mào)易往來(lái)以及建立任何聯(lián)系，該措施能夠有效地防止美國(guó)金融公司為該集團(tuán)的贖金支付提供便利，也能夠限制其在犯罪活動(dòng)中的獲利。

隱藏的網(wǎng)絡(luò)犯罪分子

在大量的制裁以及隨后對(duì)其領(lǐng)導(dǎo)人的起訴后，Evil Corp暫時(shí)停頓了一下，但此后通過(guò)巧妙的塑造新的品牌來(lái)繼續(xù)其惡意的攻擊行為。

事實(shí)上，它最近的身份轉(zhuǎn)變并不是該組織第一次使用不同的身份來(lái)試圖規(guī)避對(duì)它的制裁。據(jù)報(bào)道，大約一年前，Evil Corp曾經(jīng)試圖通過(guò)使用一款名為PayloadBin的勒索軟件來(lái)掩蓋自己的身份，研究人員發(fā)現(xiàn)這可能是該集團(tuán)WastedLocker勒索軟件的最新版。

在此之前，該組織在外國(guó)資產(chǎn)管制處制裁后不久后又短暫出現(xiàn)，并采取了新的攻擊策略來(lái)嘗試掩蓋其身份。他們使用HTML重定向器或者使用meta刷新標(biāo)簽將用戶重定向到另一個(gè)網(wǎng)站等攻擊手段，然后使用惡意的Excel文件來(lái)投放有效載荷。

最新的攻擊身份

據(jù)Mandiant稱，Evil Corp的最新攻擊活動(dòng)幾乎完全是在一個(gè)名為UNC1543的組織的支持下進(jìn)入到了受害者的網(wǎng)絡(luò)中的，因?yàn)樵诠糁惺褂玫腇akeUpdates工具與該組織有密切關(guān)聯(lián)。在政府起訴Evil Corp之前的幾個(gè)月里，這種方法一直被用作Dridex和BitPaymer以及DoppelPaymer勒索軟件的初始感染載體。

研究人員說(shuō)，Evil Corp最近還在部署其他勒索軟件，特別是Hades。他們說(shuō)，Hades的代碼和功能與其他勒索軟件有很多相似之處，研究發(fā)現(xiàn)該工具與Evil Corp相關(guān)的威脅攻擊者有密切關(guān)系。

研究人員說(shuō)，使用其他的勒索軟件的確可以使Evil Corp保持很好的隱秘性。

然而，他們說(shuō)，LockBit比Hades更為自然，因?yàn)樗褂玫腞aaS模式是近幾年才出現(xiàn)的模式。事實(shí)上，LockBit在去年已經(jīng)攻下了一些大名鼎鼎的目標(biāo)，如埃森哲和曼谷航空。

研究人員寫道，使用這個(gè)RaaS模式可以使UNC2165與其他網(wǎng)絡(luò)攻擊集團(tuán)更難區(qū)分開(kāi)。此外，頻繁的更新代碼以及重塑品牌需要大量的開(kāi)發(fā)資源投入，UNC2165認(rèn)為使用LOCKBIT是一個(gè)更具成本效益的選擇，這是值得的。

這一舉措很有意義

一位安全專家指出，由于勒索軟件運(yùn)營(yíng)商會(huì)像其他企業(yè)領(lǐng)導(dǎo)人一樣看待他們的業(yè)務(wù)，因此，他們也必須與時(shí)俱進(jìn)，在市場(chǎng)地位上保持領(lǐng)先，并像其他集團(tuán)一樣獲得利潤(rùn)，這是很合理的。

安全研究員James McQuiggan在給媒體的一封電子郵件中說(shuō)，對(duì)于網(wǎng)絡(luò)犯罪分子來(lái)說(shuō)，他們需要不斷開(kāi)發(fā)他們的應(yīng)用程序和加密功能，避免被系統(tǒng)發(fā)現(xiàn)，并通過(guò)使用各種方法敲詐錢財(cái)。 

他說(shuō)，鑒于這種觀點(diǎn)，Evil Corp會(huì)利用其他勒索軟件來(lái)繼續(xù)保持其在市場(chǎng)上的地位，更重要的是，這樣做可以獲得報(bào)酬。由于Evil Corp會(huì)將自己隱藏于其他勒索軟件團(tuán)體的活動(dòng)中，目標(biāo)也很可能會(huì)支付高昂的勒索費(fèi)用，他們也不用擔(dān)心政府會(huì)對(duì)真正的犯罪者進(jìn)行法律制裁。

文章翻譯自：https://threatpost.com/evil-corp-pivots-to-lockbit-to-dodge-u-s-sanctions/179858/如若轉(zhuǎn)載，請(qǐng)注明原文地址。