Le cluster de menaces baptisé UNC2165, qui partage de nombreux chevauchements avec un groupe de cybercriminalité basé en Russie connu sous le nom d’Evil Corp, a été lié à plusieurs intrusions de rançongiciels LockBit dans le but de contourner les sanctions imposées par le Trésor américain en décembre 2019.
« Ces acteurs ont délaissé l’utilisation de variantes exclusives de ransomware pour LockBit – un ransomware en tant que service (RaaS) bien connu – dans leurs opérations, susceptibles d’entraver les efforts d’attribution afin d’échapper aux sanctions », a déclaré la société de renseignement sur les menaces Mandiant. c’est noté dans une analyse la semaine dernière.
Actif depuis 2019, UNC2165 est connu pour obtenir un accès initial aux réseaux des victimes via des informations d’identification volées et un logiciel malveillant de téléchargement basé sur JavaScript appelé FakeUpdates (alias SocGholish), en l’utilisant pour déployer précédemment le rançongiciel Hades.
Hades est le travail d’un groupe de piratage financièrement motivé nommé Evil Corp, qui est également appelé par les surnoms Gold Drake et Indrik Spider et a été attribué au tristement célèbre cheval de Troie Dridex (alias Bugat) ainsi qu’à d’autres souches de rançongiciels telles que BitPaymer, DoppelPaymer , et WastedLocker au cours des cinq dernières années.
Le pivot de l’UNC2165 d’Hadès à LockBit en tant que tactique d’évitement des sanctions se serait produit au début de 2021.
Fait intéressant, FakeUpdates a également, dans le passé, servi de vecteur d’infection initial pour la distribution de Dridex qui a ensuite été utilisé comme conduit pour déposer BitPaymer et DoppelPaymer sur des systèmes compromis.
Mandiant a déclaré avoir noté d’autres similitudes entre UNC2165 et une activité de cyberespionnage liée à Evil Corp suivie par la société suisse de cybersécurité PRODAFT sous le nom Poisson d’argent destiné aux entités gouvernementales et aux entreprises du Fortune 500 dans l’UE et aux États-Unis
Une compromission initiale réussie est suivie d’une série d’actions dans le cadre du cycle de vie de l’attaque, y compris l’élévation des privilèges, la reconnaissance interne, le mouvement latéral et le maintien d’un accès à distance à long terme, avant de livrer les charges utiles du ransomware.
Les sanctions étant utilisées comme moyen de freiner les attaques de ransomwares, empêchant à leur tour les victimes de négocier avec les acteurs de la menace, l’ajout d’un groupe de ransomwares à une liste de sanctions – sans nommer les individus derrière lui – a également été compliqué par le fait que les syndicats de cybercriminels souvent ont tendance à fermer, à se regrouper et à se rebaptiser sous un nom différent pour contourner les forces de l’ordre.
« L’adoption d’un ransomware existant est une évolution naturelle pour UNC2165 pour tenter de masquer leur affiliation avec Evil Corp », a déclaré Mandiant, tout en garantissant que les sanctions ne sont « pas un facteur limitant pour recevoir des paiements des victimes ».
« L’utilisation de ce RaaS permettrait à UNC2165 de se fondre dans d’autres affiliés, a ajouté la société, déclarant qu' »il est plausible que les acteurs derrière les opérations UNC2165 continueront à prendre des mesures supplémentaires pour se distancier du nom Evil Corp ».
Les conclusions de Mandiant, qui est en cours d’acquisition par Google, sont particulièrement importantes car le gang de rançongiciels LockBit a depuis allégué qu’il avait pénétré dans le réseau de l’entreprise et volé des données sensibles.
Le groupe, au-delà de la menace de publier « toutes les données disponibles » sur son portail de fuite de données, n’a pas précisé la nature exacte du contenu de ces fichiers. Cependant, Mandiant a déclaré qu’il n’y avait aucune preuve à l’appui de cette affirmation.
« Mandiant a examiné les données divulguées dans la version initiale de LockBit », a déclaré la société à The Hacker News. « Sur la base des données qui ont été publiées, rien n’indique que les données de Mandiant aient été divulguées, mais l’acteur semble plutôt essayer de réfuter les recherches de Mandiant du 2 juin 2022 sur UNC2165 et LockBit. »