Especialistas em TI da Fox falou sobre a última atividade do famoso grupo de hackers Evil Corp. Segundo analistas, o grupo voltou à vida em janeiro deste ano e realizou diversas campanhas maliciosas, e então retomou completamente a atividade com novas ferramentas – como o ransomware WastedLocker.
Deixe-me lembrá-lo de que o grupo Evil Corp é considerado um dos mais ativos e arrogantes entre os cibercriminosos. Para informações sobre seus membros, o governo dos EUA estabeleceu um recompensa de $5 milhão, e a mídia discute frequentemente rumores sobre seu estilo de vida luxuoso e possíveis conexões com serviços especiais russos.
Corpo do Mal, também conhecido como Dridex, está ativo desde cerca 2007, quando vários hackers anteriormente associados ao trojan bancário ZeuS decidiram tentar a sorte espalhando malware.
"Inicialmente, o grupo se concentrou na distribuição do trojan bancário Cridex, que mais tarde se transformou no banqueiro Dridex, e ainda mais tarde no kit de ferramentas malicioso multifuncional Dridex”, – disseram especialistas da Fox-IT.
Graças ao Dridex, um dos maiores botnets para distribuição de malware e spam estava à disposição do grupo. Dessa forma, a Evil Corp distribuiu seu próprio malware e malware para outros grupos criminosos, bem como mensagens de spam personalizadas.
Em 2016, o grupo também começou a distribuir ransomware, começando com Locky. No entanto, à medida que o foco do ransomware começou a mudar dos consumidores domésticos para os objetivos corporativos, A Evil Corp também se voltou para a situação e criou um novo ransomware extorsionista BitPaymer.
“A Evil Corp usou seu gigantesco botnet de dispositivos infectados pelo Dridex para procurar redes corporativas, e então implantaram o BitPaymer nas redes das maiores empresas que puderam encontrar”, - Pesquisadores da Fox-IT contam a história da Evil Corp.
BitPaymer foi usado ativamente entre 2017 e 2019, mas então os ataques gradualmente começaram a parar. As razões para este declínio ainda não são claras, mas pode ser devido ao fato de que o botnet Dridex também “desacelerou” entre 2017 e 2019.
Fox-IT escreve que este declínio na atividade do grupo terminou depois dos EUA. Departamento de Justiça alegações à revelia contra membros da Evil Corp em dezembro 2019. Depois disso, os hackers ficaram em silêncio por quase um mês, até janeiro 2020, mas depois retomaram a atividade e realizaram diversas campanhas maliciosas, principalmente para outros golpistas.
Na primavera de 2020, Evil Corp novamente “voltou à vida” e desta vez com novas ferramentas. Segundo pesquisadores, o grupo desenvolveu um novo ransomware WastedLocker para substituir o obsoleto BitPaymer, que vem sendo utilizado desde o início 2017.
Segundo os pesquisadores, este malware foi escrito do zero, e a análise do novo ransomware quase não mostrou sinais de reutilização de código e outras semelhanças entre BitPaymer e WastedLocker. Alguns paralelos podem ser vistos apenas no texto da nota de resgate.
Especialistas da Fox-IT monitoram o uso do WastedLocker desde maio 2020. De acordo com eles, até agora o ransomware foi usado exclusivamente contra empresas americanas, e a quantidade de resgates que a Evil Corp exige das vítimas agora chega a milhões de dólares. Por exemplo, pesquisadores conhecem um caso em que hackers solicitaram $10,000,000 de uma empresa. Com base em dados do VirusTotal, analistas dizem que o WastedLocker foi usado conforme pretendido pelo menos cinco vezes.
“Os operadores da Evil Corp são muito agressivos na implantação do novo ransomware WastedLocker: eles normalmente atacam servidores de arquivos, serviços de banco de dados, máquinas virtuais, e ambientes de nuvem. O grupo também procura interromper a operação de aplicativos de backup e infraestrutura relacionada, aquilo é, em todos os sentidos dificulta a recuperação de informações para as empresas afetadas”, – disseram especialistas da Fox-IT.
Ao mesmo tempo, A Evil Corp não está fazendo o que é tendência entre outros grupos de extorsão: WastedLocker não é capaz de roubar dados antes de criptografá-los. Deixe-me lembrá-lo que atualmente 10 de 15 grupos de hackers infectam redes de empresas, roubar dados confidenciais, e só depois criptografar os arquivos, e também ameaçar publicar dados roubados em domínio público (em seus próprios sites ou sites de compartilhamento de arquivos).
Táticas semelhantes, por exemplo, use o grupo Sodinokibi (REvil).
Até aqui, Evil Corp não fez nada parecido com isso, e os especialistas da Fox-IT acreditam que esta é uma decisão bem informada. O fato é que “úmido” de dados roubados geralmente atrai muita atenção da mídia, que os membros da Evil Corp provavelmente gostariam de evitar, porque alguns membros do grupo já estão na lista dos criminosos mais procurados do FBI.
