Evil Corp schwenkt LockBit um, um US-Sanktionen zu umgehen

  • Die cyberkriminelle Gruppe distanziert sich von ihrem früheren Branding, indem sie erneut ihre Taktik und ihre Tools ändert, um weiterhin von ihren ruchlosen Aktivitäten zu profitieren.

    Evil Corp hat seine Taktik erneut geändert und sich diesmal der LockBit-Ransomware zugewandt, nachdem die US-Sanktionen es der cyberkriminellen Gruppe erschwert haben, finanziellen Gewinn aus ihren Aktivitäten zu ziehen, wie Forscher herausgefunden haben.

    Forscher von Mandiant Intelligence haben ein „finanziell motiviertes Bedrohungscluster“ verfolgt, das sie UNC2165 nennen, das zahlreiche Überschneidungen mit Evil Corp aufweist und höchstwahrscheinlich die neueste Inkarnation der Gruppe ist.

    UNC2165 nutzt eine Kombination aus der FakeUpdates-Infektionskette, um sich Zugang zu den Zielnetzwerken zu verschaffen, gefolgt von der LockBit-Ransomware, so die Forscher in einem am Donnerstag veröffentlichten Bericht. Die Aktivität scheint „eine weitere Entwicklung in den Operationen der mit Evil Corp verbundenen Akteure“ zu sein, schreiben sie.

    „Zahlreiche Berichte haben das Fortschreiten der damit verbundenen Aktivitäten hervorgehoben, einschließlich der Entwicklung neuer Ransomware-Familien und einer geringeren Abhängigkeit von Dridex, um Einbrüche zu ermöglichen“, schreiben die Forscher. „Trotz dieser offensichtlichen Bemühungen, die Zuordnung zu verschleiern, weist UNC2165 bemerkenswerte Ähnlichkeiten mit Operationen auf, die öffentlich der Evil Corp. zugeschrieben werden.[Blocked Image: https://alltechnews.de/daten/2021/08/Kaseyas-Master-Key-fuer-REvil-Attacke-online-veroeffentlicht.png]

    Das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums sanktionierte Evil Corp im Dezember 2019 im Rahmen eines umfassenden Vorgehens gegen die gefährliche und produktive cyberkriminelle Gruppe, die vor allem für die Verbreitung der bereits erwähnten datenraubenden Dridex-Malware und später der eigenen Ransomware WastedLocker bekannt ist.

    Die Sanktionen verbieten im Grunde jeder US-Einheit, Geschäfte mit Evil Corp zu machen oder mit ihr in Verbindung zu stehen, und hindern Ransomware-Vermittlungsfirmen effektiv daran, Lösegeldzahlungen für die Gruppe zu erleichtern – und schränken damit offensichtlich ihre Möglichkeiten ein, von kriminellen Aktivitäten zu profitieren.

    Gestaltenwandelnde Cyberkriminelle

    Die Evil Corp hat nach den Sanktionen und der anschließenden Anklage ihrer Anführer eine kurze Pause eingelegt, hat sich aber seitdem durch geschicktes Rebranding getarnt, um ihre ruchlosen Aktivitäten fortzusetzen.

    Es ist nicht das erste Mal, dass die Gruppe eine andere Identität verwendet, um die gegen sie verhängten Sanktionen zu umgehen. Vor etwa einem Jahr versuchte Evil Corp, sich zu tarnen, indem es eine bis dahin unbekannte Ransomware namens PayloadBin verwendete, die Forschern zufolge wahrscheinlich ein Rebranding seiner eigenen Ransomware, WastedLocker, war.

    Davor tauchte die Gruppe kurz nach der Verhängung der OFAC-Sanktionen mit einer neuen Taktik auf, um ihre Aktivitäten zu verbergen. Sie nutzte das häufig verwendete Bedrohungswerkzeug HTML-Redirectoren – oder Code, der Meta-Refresh-Tags verwendet, um Benutzer auf eine andere Website umzuleiten – um Nutzdaten über bösartige Excel-Dateien abzulegen.

    Neueste Inkarnation

    Die jüngste Aktivität von Evil Corp verschafft sich „fast ausschließlich“ Zugang zu den Netzwerken der Opfer über eine als UNC1543 verfolgte Gruppe, mit der die Verwendung von FakeUpdates in Verbindung gebracht wird, so Mandiant. In den Monaten vor der Anklageerhebung der Regierung gegen Evil Corp wurde diese Methode als ursprünglicher Infektionsvektor für Dridex und die Ransomware BitPaymer und DoppelPaymer verwendet.

    Laut den Forschern setzt Evil Corp auch andere Ransomware ein, insbesondere Hades, die als UNC2165 aktiv ist. „Hades weist Code- und Funktionsähnlichkeiten mit anderer Ransomware auf, von der angenommen wird, dass sie mit Evil Corp-verbundenen Bedrohungsakteuren in Verbindung steht“, so die Forscher.

    Die Verwendung anderer Ransomware ist in der Tat eine „natürliche Entwicklung“ für diese aufstrebende kriminelle Gruppe, um sich von Evil Corp zu distanzieren, so die Forscher.

    Allerdings passt LockBit aufgrund seines RaaS-Modells und seines Aufstiegs in den letzten Jahren besser zu Evil Corp als Hades, so die Forscher. In der Tat hat LockBit im letzten Jahr selbst einige namhafte Ziele wie Accenture und Bangkok Air ausgeschaltet.

    „Die Verwendung dieses RaaS würde es UNC2165 ermöglichen, sich mit anderen verbundenen Unternehmen zu vermischen“, schreiben die Forscher. „Darüber hinaus erforderten die häufigen Code-Updates und das Rebranding von HADES Entwicklungsressourcen, und es ist plausibel, dass UNC2165 die Verwendung von LOCKBIT als eine kostengünstigere Wahl ansah.“

    Der Umzug macht Sinn

    Da die Betreiber von Ransomware ihre Tätigkeit wie jeder andere Unternehmer sehen, ist es nur logisch, dass auch sie mit der Zeit gehen müssen, um auf dem Markt bestehen zu können und ihren Gewinn zu erhalten, wie jeder andere auch, so ein Sicherheitsexperte.

    „Für Cyberkriminelle ist es ein ähnliches Konzept“, sagte James McQuiggan, Sicherheitsbeauftragter bei der Sicherheitsfirma KnowBe4, in einer E-Mail an Threatpost. „Sie müssen ihre Anwendungen und Verschlüsselungen ständig weiterentwickeln, um nicht entdeckt zu werden und durch Erpressung mit verschiedenen Methoden Geld zu verdienen.“

    Angesichts dieser Perspektive ist es nicht überraschend, dass Evil Corp andere Ransomware nutzt, um weiterhin relevant zu bleiben und, was noch wichtiger ist, um Geld zu verdienen. Und da sich Evil Corp in den Aktivitäten anderer Ransomware-Gruppen tarnt, werden die Opfer wahrscheinlich eine Erpressungsgebühr zahlen, da sie sich der staatlichen Sanktionen gegen die wahren Täter nicht bewusst sind, so McQuiggan.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com