Los ciberdelincuentes de Evil Corp están evolucionando sus técnicas de ransomware, para evadir las sanciones de EE.UU.. Según un reciente estudiar Lanzado por la firma de ciberseguridad Mandiant, estos piratas informáticos con sede en Rusia se han convertido en un modelo RaaS (ransomware-as-a-service) permanecer en el anonimato.
Evil Corp y UNC2165, ¿una y la misma banda?
En diciembre de 2019, la Oficina de Control de Activos Extranjeros (OFAC), una unidad del Tesoro de EE. UU., sancionó a Evil Corp por implementar el malware Dridex. Este malware habría hecho posible robar mas de 100 millones de dolares a cientos de bancos e instituciones financieras. En los últimos meses, los investigadores de ciberseguridad de Mandiant han observado una serie de intrusiones de ransomware sin poder atribuirlas a ningún grupo de hackers en particular.
En apoyo a Ucrania, Estados Unidos revela que ha realizado acciones ciberofensivas
Este ransomware ha sido denominado UNC2165. Según el estudio de la empresa, el ransomware comparte “muchos puntos en común con las técnicas utilizadas habitualmente por Evil Corp”. Según ellos, esto probablemente representa una evolución de las operaciones de los actores afiliados a los piratas informáticos rusos. UNC2165 es un grupo de ciberdelincuentes que Mandiant ha estado monitoreando desde 2019. El principio del ataque consiste en engañar a los usuarios de Internet para que abran un archivo adjunto, bajo la apariencia de una actualización del navegador.
El modelo RaaS seduce a los hackers
En el pasado, Evil Corp también usó esta táctica para servir como vector de infección con Dridex. Lo mismo ocurre con el despliegue de BitPaymer y WastedLocker, dos variantes que también utiliza Evil Corp. UNC2165 también implementó el ransomware Hades, cuyo código y características presentan similitudes con otros ransomware sospechosos de estar asociados con Evil Corp. Los investigadores de Mandiant también encontraron similitudes en la infraestructura.
Esta no es la primera vez que Evil Corp cambia de táctica para evitar sanciones, pero esta vez los investigadores de seguridad cibernética están encontrando un verdadero cambio de estrategia con la adopción de un modelo RaaS. En teoría, esto permite a los hackers realizar sus operaciones de forma anónima. El informe afirma que “Adoptar un modelo RaaS es una evolución natural para UNC2165, ya que intenta enmascarar su afiliación a Evil Corp. Esto podría dar tiempo a los piratas informáticos para desarrollar un nuevo ransomware desde cero”..
Este estudio se produce solo unas semanas después de que la banda de ransomware REvil (que durante mucho tiempo ha estado vinculada a actividades atribuidas a Evil Corp) fuera arrestada por el FSB por orden de los Estados Unidos. A principios de año, el FSB realizó búsquedas en 25 direcciones vinculado a 14 sospechosos pertenecientes a REvil. Esta operación marcó claramente el final del reinado del notorio grupo de ciberdelincuentes, especializados en ataques de ransomware.
About the Author
