Evil Corp Ransomware se passando por grupo PayloadBin para evitar sanções dos EUA

Evil Corp and PayloadBIN

Operadores do novo ransomware PayloadBIN, ligado ao grupo cibercriminoso Evil Corp, estão tentando evitar sanções Imposto por o Escritório de Controle de Ativos Estrangeiros do Departamento do Tesouro dos EUA (OFAC).

Membros da Evil Corp (também conhecido como Indrik Spider e Dridex) começou como parceiro dos operadores de botnet ZeuS. Ao longo do tempo, A Evil Corp formou seu próprio grupo focado na distribuição de um Trojan bancário chamado Dridex por meio de e-mails de phishing..

Quando as gangues começaram a avançar em direção a ataques de ransomware de alto rendimento, Evil Corp usou ransomware BitPaymer, que foi espalhado pelo malware Dridex para redes corporativas comprometidas.

Após sanções dos EUA. governo em 2019, empresas que negociavam com operadores de ransomware recusaram-se a pagar resgates pelos ataques da Evil Corp para evitar multas ou ações judiciais dos EUA. Departamento do Tesouro. A Evil Corp começou a renomear suas campanhas de ransomware para Hades e Phoenix em um esforço para contornar essas sanções.

Recorde-se que no final de abril deste ano, Operadores bêbados anunciado o encerramento de suas atividades. No entanto, duas semanas depois, os hackers lembraram de si mesmos, apresentando um novo projeto, Caixa de carga útil.

Embora os hackers não vão mais roubar dados e exigir resgate por eles, eles fornecerão essa oportunidade para outros cibercriminosos que não têm nome e local de vazamento próprios.a mídia especializada disse.

BleepingComputer descobriu uma nova amostra de ransomware chamada PayloadBIN no VirusTotal e inicialmente sugeriu que o malware estava relacionado à mudança de marca do Babuk Locker. Uma vez instalado, o ransomware adiciona a extensão .PAYLOADBIN aos arquivos criptografados. Além disso, a nota de resgate se chama PAYLOADBIN-README.txt e informa à vítima que “as redes foram BLOQUEADAS usando o ransomware PAYLOADBIN.”

Babuk supostamente mentiu sobre suas intenções de recusar o ransomware. No entanto, depois analisando o novo ransomware, especialistas Fabian Wosar da Emsisoft e Michael Gillespie da ID Ransomware confirmado que o programa na verdade pertence à Evil Corp.

Os hackers viram e aproveitaram a oportunidade para se passar por outro grupo que não foi sancionado.Fabian Wosar sugeriu.

Deixe-me lembrá-lo que eu também escrevi isso Evil Corp retorna à atividade criminosa com ransomware WastedLocker.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *