El grupo de amenazas denominado UNC2165, que comparte numerosas superposiciones con un grupo de ciberdelincuencia con sede en Rusia conocido como Evil Corp, se ha relacionado con múltiples intrusiones de ransomware LockBit en un intento de eludir las sanciones impuestas por el Tesoro de EE. UU. en diciembre de 2019.
«Estos actores han dejado de usar variantes exclusivas de ransomware para LockBit, un conocido ransomware como servicio (RaaS), en sus operaciones, lo que probablemente obstaculice los esfuerzos de atribución para evadir sanciones», dijo la firma de inteligencia de amenazas Mandiant. señalado en un análisis la semana pasada.
Activo desde 2019, se sabe que UNC2165 obtiene acceso inicial a las redes de las víctimas a través de credenciales robadas y un malware de descarga basado en JavaScript llamado FakeUpdates (también conocido como SocGholish), aprovechándolo para implementar previamente el ransomware Hades.
Hades es el trabajo de un grupo de piratería con motivación financiera llamado Evil Corp, que también recibe los apodos de Gold Drake e Indrik Spider y se ha atribuido al infame troyano Dridex (también conocido como Bugat), así como a otras cepas de ransomware como BitPaymer, DoppelPaymer. y WastedLocker en los últimos cinco años.
Se dice que el giro de UNC2165 de Hades a LockBit como táctica para eludir sanciones ocurrió a principios de 2021.
Curiosamente, FakeUpdates también sirvió en el pasado como el vector de infección inicial para distribuir Dridex que luego se usó como un conducto para colocar BitPaymer y DoppelPaymer en sistemas comprometidos.
Mandiant dijo que notó más similitudes entre UNC2165 y una actividad de ciberespionaje conectada con Evil Corp rastreada por la firma suiza de ciberseguridad PRODAFT bajo el nombre Lepisma dirigido a entidades gubernamentales y empresas Fortune 500 en la UE y EE. UU.
A un compromiso inicial exitoso le sigue una serie de acciones como parte del ciclo de vida del ataque, que incluyen la escalada de privilegios, el reconocimiento interno, el movimiento lateral y el mantenimiento del acceso remoto a largo plazo, antes de entregar las cargas de ransomware.
Dado que las sanciones se utilizan como un medio para controlar los ataques de ransomware, lo que a su vez impide que las víctimas negocien con los actores de la amenaza, agregar un grupo de ransomware a una lista de sanciones, sin nombrar a las personas detrás de él, también se ha complicado por el hecho de que los sindicatos de ciberdelincuentes a menudo tienden a cerrar, reagrupar y cambiar de marca con un nombre diferente para eludir la aplicación de la ley.
«La adopción de un ransomware existente es una evolución natural para que UNC2165 intente ocultar su afiliación con Evil Corp», dijo Mandiant, al tiempo que aseguró que las sanciones «no son un factor limitante para recibir pagos de las víctimas».
«El uso de este RaaS permitiría que UNC2165 se mezcle con otros afiliados», agregó la compañía, afirmando que «es plausible que los actores detrás de las operaciones de UNC2165 continúen tomando medidas adicionales para distanciarse del nombre Evil Corp».
Los hallazgos de Mandiant, que está en proceso de ser adquirido por Google, son particularmente significativos ya que la pandilla de ransomware LockBit ha alegado desde entonces que había violado la red de la compañía y robado datos confidenciales.
El grupo, más allá de amenazar con publicar «todos los datos disponibles» en su portal de fuga de datos, no especificó la naturaleza exacta del contenido de esos archivos. Sin embargo, Mandiant dijo que no hay evidencia para respaldar el reclamo.
«Mandiant ha revisado los datos revelados en el lanzamiento inicial de LockBit», dijo la compañía a The Hacker News. «Según los datos que se han publicado, no hay indicios de que se hayan divulgado los datos de Mandiant, sino que el actor parece estar tratando de refutar la investigación de Mandiant del 2 de junio de 2022 sobre UNC2165 y LockBit».