Вымогатели из Evil Corp выдают себя за группировку PayloadBin для избежания санкций США

Вымогатели из Evil Corp выдают себя за группировку PayloadBin для избежания санкций США

Alexander Antipov

Хакеры специально переименовали свой вымогатель с целью имитировать новый проект операторов Babuk.

image

Операторы нового вымогательского ПО PayloadBIN, связанного с киберпреступной группировкой Evil Corp, пытаются избежать санкций, введенных Управлением по контролю за иностранными активами Министерства финансов США (OFAC).

Участники Evil Corp (также известной как Indrik Spider и Dridex) начинали свою деятельность в качестве партнера операторов ботнета ZeuS. Со временем Evil Corp сформировала собственную группировку, которая сосредоточилась на распространении банковского трояна под названием Dridex через фишинговые электронные письма. Когда группировки начали переходить к высокодоходным атакам программ-вымогателей, Evil Corp использовала вымогатель BitPaymer, распространяемый с помощью вредоноса Dridex на скомпрометированные корпоративные сети. После санкций со стороны правительства США в 2019 году фирмы, занимающиеся переговорами с операторами вымогателей, отказались платить выкупы за атаки Evil Corp во избежание штрафов или судебных исков со стороны Министерства финансов США. Evil Corp начала переименовывать свои кампании с использованием программ-вымогателей на WastedLocker , Hades и Phoenix с целью обойти эти санкции.

Напомним, в конце апреля нынешнего года операторы Babuk объявили о прекращении своей деятельности. Однако уже через две недели хакеры снова дали о себе знать, представив новый проект Payload Bin. Хотя хакеры больше не собираются сами похищать данные и требовать за них выкуп, они предоставят такую возможность другим киберпреступникам, у которых нет собственного названия и сайта утечек.

Специалисты издания BleepingComputer обнаружили на сервисе VirusTotal новый образец вымогательского ПО под названием PayloadBIN и изначально предположили, что вредонос был связан с ребрендингом Babuk Locker. После установки программа-вымогатель добавляет расширение .PAYLOADBIN к зашифрованным файлам. Кроме того, записка с требованием выкупа называется PAYLOADBIN-README.txt и сообщает жертве, что «сети ЗАБЛОКИРОВАНЫ с помощью программы-вымогателя PAYLOADBIN».

Предполагалось, что Babuk солгала о своих намерениях отказаться от программ-вымогателей. Однако после анализа нового вымогателя специалисты Фабиан Восар (Fabian Wosar) из Emsisoft и Майкл Гиллеспи (Michael Gillespie) из ID Ransomware подтвердили , что программа на самом деле принадлежит Evil Corp. Как предположил Восар, хакеры увидели и воспользовались возможностью выдать себя за другую группировку, которая не подверглась санкциям.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Youtube выпуске.


Источник: Securitylab