ABD hükümetinin 2019 yılında Rusya merkezli suç çetesi Evil Corp’a uyguladığı yaptırımlar, tehdit aktörünü siber suç işinde kalabilmek için taktik değiştirmeye zorlamış gibi görünüyor.
Yeni araştırma Grubun Mandiant tarafından yapılan faaliyete dahil edilmesi, yaptırımlar uygulamaya konduktan sonra – grubun hassas bilgileri çalarak bankalara ve diğer finansal kurumlara 100 milyon dolardan fazla zarara yol açmasından sonra – Evil Corp’un, atıfları gizlemek için bariz bir çabayla fidye yazılımı kullanmaya geçtiğini gösteriyor. .
Kendi özel (ve kolayca parmak izi alınabilen) kötü amaçlı yazılımı olan Dridex’i kullanmaya devam eden Evil Corp aktörlerinin, Hades, WastedLocker, PhoenixLocker ve en son olarak bir fidye yazılımı olan LockBit gibi birden fazla tehdit grubu tarafından kullanılan fidye yazılımı ailelerini dağıttığı gözlemlendi. -servis seçeneği.
ABD düzenlemeleri, fidye yazılımı kurbanları ve arabulucular da dahil olmak üzere kuruluşların ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC) yaptırım listesindeki kurum ve kuruluşlarla her türlü finansal işlem yapmasını yasaklar.
“[US] Mandiant raporunda, yaptırımların tehdit aktörlerinin operasyonları üzerinde doğrudan bir etkisi olduğunu, özellikle de en azından müzakere gibi fidye yazılımı iyileştirme faaliyetlerinde bulunan bazı şirketlerin, yaptırım uygulanan bilinen kuruluşlara ödeme yapmayı reddetmesi nedeniyle, “Bu, nihayetinde tehdit aktörlerini azaltabilir” dedi. ‘ fidye yazılımı operasyonlarının birincil itici gücü olan kurbanlar tarafından ödenme yeteneği.”
Mandiant Threat Intelligence mali suç analizi kıdemli yöneticisi Jeremy Kennelly, bunun ABD fidye yazılımı kurbanlarının kiminle uğraştıklarına daha fazla dikkat etmeleri gerektiği anlamına geldiğini söylüyor.
“Bir fidye yazılımı saldırısıyla uğraşırken, dağıtılan belirli kötü amaçlı yazılım veya fidye notlarındaki markalama veya web sitelerini utandırma, ödemelerden yararlanan kişinin yaptırıma tabi bir kuruluş olan Evil Corp ile ilişkisi olup olmadığını belirlemek için yetersiz olabilir” diyor.
Yaptırım Sıkıntısı
OFAC, Evil Corp’u onayladı ve iki üye, Dridex kötü amaçlı yazılım aracıyla toplanan kimlik bilgilerini kullanarak 40 ülkedeki finans kurumlarından 100 milyon dolardan fazla çalmakla suçlandı.
Yaptırımların uygulandığı sıralarda, Evil Corp bağlı çeteler tarafından kullanılmak üzere Dridex’i kiralamaya başlamıştı. Ayrıca, başlangıçta BitPaymer fidye yazılımı ve daha sonra 2019’da DopplePaymer ve WastedLocker ile fidye yazılımı alanına kendi baskınını yapmaya başlamıştı.
2020’de Evil Corp., devasa bir WastedLocker kampanyasında birkaç Fortune 500 şirketi de dahil olmak üzere iki düzineden fazla ABD kuruluşunu fidye yazılımıyla hedef aldı. Yaptırımların yürürlüğe girmesinden aylar sonra, tehdit aktörü WastedLocker’ı kullanmayı bıraktı ve kısa süre sonra Hades ve en son olarak tehdit aktörüne harmanlama fırsatı veren bir hizmet olarak fidye yazılımı olan LockBit gibi çeşitli araçlara geçti. diğer aktörlerle birlikte.
UNC2165: Evil Corp.’un Başka Bir Evrimi
Mandiant, 2019’dan beri satıcının şu anda UNC2165 olarak takip ettiği bir grup tarafından gerçekleştirilen birden fazla LockBit fidye yazılımı izinsiz girişini araştırdığını söyledi. Mandiant’a göre, UNC2165, Evil Corp ile çok fazla örtüşüyor ve büyük olasılıkla onunla yakından bağlantılı bir aktör. Örneğin, Mandiant’ın araştırdığı tüm izinsiz girişlerde, UNC2165, kötü amaçlı yazılım dağıtmak için çok aşamalı bir JavaScript düşürücü olan FakeUpdates’i dağıtan finansal olarak motive edilmiş bir tehdit grubu olan UNC1543 aracılığıyla kurban ağına erişim elde etti. FakeUpdates ayrıca daha sonra BitPaymer ve DopplePaymer fidye yazılımı enfeksiyonlarına neden olan Dridex’i dağıtmak için enfeksiyon zinciriydi.
Benzer şekilde, Mandiant’ın UNC2165’in dağıtımını gözlemlediği Hades fidye yazılımı ailesinin, Evil Corp’a bağlı diğer fidye yazılımı araçlarıyla birden çok kod benzerliği vardı. Mandiant, UNC2165’in kullandığı gözlemlenen komuta ve kontrol sunucularının birçoğunun da Evil Corp altyapısına bağlı olduğunu söylüyor. .
Kennelly, “UNC2165 ile daha geniş Evil Corp grubu arasındaki operasyonel ilişki tam olarak anlaşılmadı” diyor. “Mandiant, UNC2165’in Hades fidye yazılımını dağıttığını ve Hades ile ilgili altyapıyı çalıştırdığını gözlemledi. Ayrıca, genellikle Evil Corp’a atfedilen diğer fidye yazılımı ailelerinin dağıtımıyla ilgili çok sayıda kamu raporu, Mandiant altyapısının UNC2165’e atfedilmesini içeriyor.”
Kennelly, Mandiant’ın Evil Corp ile ilgili bir aktörü LockBit’e bağlama raporunun fidye yazılımı alanında ne gibi bir etkisinin olacağının belirsiz olduğunu söylüyor.
“Bu açıklamanın fidye yazılımı müzakerecileri üzerindeki etkisini tahmin etmek zor” diyor. “LockBit, Evil Corp ile bağları olan bağlı kuruluşlardan hızla uzaklaşmak veya iddiaları toptan reddetmek için hızla hareket edebilir” diyor.
Ayrıca, UNC2165, operasyonlarını son yıllarda birçok kez değiştirdi ve bu, fidye yazılımı müzakerecilerinin LockBit vakaları üzerinde çalışmayı durdurması halinde nihayetinde güncellenmiş bir araç setini yeniden benimsemelerine yol açabileceğini belirtiyor.