Evil Corp olarak bilinen Rusya merkezli bir siber suç grubuyla çok sayıda örtüşmeyi paylaşan UNC2165 adlı tehdit kümesi, Aralık 2019’da ABD Hazinesi tarafından uygulanan yaptırımları aşmak amacıyla birden fazla LockBit fidye yazılımı saldırısıyla ilişkilendirildi.
Tehdit istihbarat şirketi Mandiant, “Bu aktörler, operasyonlarında, operasyonlarında, özel fidye yazılımı türevlerini kullanmaktan – iyi bilinen bir hizmet olarak fidye yazılımı (RaaS) olan LockBit’e geçtiler ve yaptırımlardan kaçınmak için atıf çabalarını engelleyebilecekler” dedi. kayıt edilmiş Geçen hafta bir analizde.
2019’dan beri aktif olan UNC2165’in, çalınan kimlik bilgileri ve FakeUpdates (aka SocGholish) adlı JavaScript tabanlı bir indirici kötü amaçlı yazılımı aracılığıyla kurban ağlarına ilk erişimi sağladığı ve daha önce Hades fidye yazılımını dağıtmak için kullandığı biliniyor.
Hades, Gold Drake ve Indrik Spider takma adları tarafından da adlandırılan ve kötü şöhretli Dridex (aka Bugat) truva atına ve BitPaymer, DoppelPaymer gibi diğer fidye yazılımı türlerine atfedilen Evil Corp adlı finansal olarak motive edilmiş bir hack grubunun eseridir. , ve WastedLocker son beş yılda.
UNC2165’in yaptırımlardan kaçma taktiği olarak Hades’ten LockBit’e geçişinin 2021’in başlarında gerçekleştiği söyleniyor.
İlginç bir şekilde, FakeUpdates geçmişte, daha sonra BitPaymer ve DoppelPaymer’i güvenliği ihlal edilmiş sistemlere bırakmak için bir kanal olarak kullanılan Dridex’i dağıtmak için ilk enfeksiyon vektörü olarak hizmet etti.
Mandiant, UNC2165 ile İsviçreli siber güvenlik firması PRODAFT tarafından adı altında izlenen Evil Corp bağlantılı siber casusluk faaliyeti arasında daha fazla benzerlik olduğunu kaydetti. GümüşBalık AB ve ABD’deki devlet kuruluşlarına ve Fortune 500 şirketlerine yönelik
Başarılı bir ilk uzlaşmayı, fidye yazılımı yüklerini teslim etmeden önce ayrıcalık yükseltme, dahili keşif, yanal hareket ve uzun vadeli uzaktan erişimi sürdürme dahil olmak üzere saldırı yaşam döngüsünün bir parçası olarak bir dizi eylem izler.
Fidye yazılımı saldırılarını dizginlemek için bir araç olarak kullanılan yaptırımlarla, kurbanların tehdit aktörleriyle görüşmesini engellemek, bir fidye yazılımı grubunu yaptırım listesine – arkasındaki kişilerin isimlerini vermeden – eklemek de siber suçluların sık sık bir araya gelmesi gerçeğiyle karmaşık hale geldi. kolluk kuvvetlerini atlatmak için kapatma, yeniden gruplandırma ve farklı bir ad altında yeniden markalama eğilimindedir.
Mandiant, “Mevcut bir fidye yazılımının benimsenmesi, UNC2165’in Evil Corp ile olan bağlantılarını gizlemeye çalışması için doğal bir evrimdir,” dedi ve ayrıca yaptırımların “kurbanlardan ödeme almak için sınırlayıcı bir faktör olmamasını” sağladı.
Şirket, “Bu RaaS’yi kullanmak UNC2165’in diğer bağlı kuruluşlarla uyum sağlamasına izin verecek” diyerek, “UNC2165 operasyonlarının arkasındaki aktörlerin kendilerini Evil Corp adından uzaklaştırmak için ek adımlar atmaya devam edeceklerini” belirtti.
Google tarafından satın alınma sürecinde olan Mandiant’ın bulguları, LockBit fidye yazılımı çetesinin o zamandan beri şirketin ağına sızdığını ve hassas verileri çaldığını iddia etmesi nedeniyle özellikle önemlidir.
Grup, veri sızıntısı portalında “mevcut tüm verileri” yayınlamakla tehdit etmenin ötesinde, bu dosyalardaki içeriğin tam yapısını belirtmedi. Ancak Mandiant, iddiayı destekleyecek hiçbir kanıt olmadığını söyledi.
Şirket, The Hacker News’e verdiği demeçte, “Mandiant ilk LockBit sürümünde açıklanan verileri inceledi” dedi. “Yayınlanan verilere dayanarak, Mandiant verilerinin açıklandığına dair hiçbir belirti yok, ancak aktör, Mandiant’ın UNC2165 ve LockBit ile ilgili 2 Haziran 2022 tarihli araştırmasını çürütmeye çalışıyor gibi görünüyor.”