Die Cybercrime-Gruppe Evil Corp setzt auf LockBit-Ransomware, um Sanktionen zu entgehen

  • [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEi5c9ecv-olSPKtGaD7vL3c1ByI60Z_luYMrMTj4yqQj0Q0iIKYEpJU3gHRZBMPhW-RsTjz-iAs8hBZuF-Qi3-c3SsGSmWzAgoi-VsveJYcclvfHFMGdWin2AEVjJVE4MkQqgWM8C-uNDV7RSUFtn7mluSJ8Q5LbH66P6jdKIZ_q2AjYuPjsaMzTmFZ/s728-e1000/hacking-group.jpg]

    Der Bedrohungscluster mit der Bezeichnung UNC2165, der zahlreiche Überschneidungen mit einer in Russland ansässigen Cybercrime-Gruppe namens Evil Corp aufweist, wurde mit mehreren LockBit-Ransomware-Intrusionen in Verbindung gebracht, mit denen versucht wurde, die vom US-Finanzministerium im Dezember 2019 verhängten Sanktionen zu umgehen.

    „Diese Akteure haben sich von der Verwendung exklusiver Ransomware-Varianten zu LockBit – einer bekannten Ransomware as a Service (RaaS) – in ihren Operationen verlagert, wahrscheinlich um die Attributionsbemühungen zu behindern, um die Sanktionen zu umgehen“, stellte das Threat Intelligence-Unternehmen Mandiant in einer Analyse letzte Woche fest.

    UNC2165 ist seit 2019 aktiv und verschafft sich über gestohlene Anmeldeinformationen und eine JavaScript-basierte Downloader-Malware namens FakeUpdates (auch bekannt als SocGholish) Zugang zu Opfernetzwerken und nutzt diese, um die Ransomware Hades zu installieren.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEilX32lo0OCGWeSbJv95Zf70lCkWkfzb8dPvmvy_wrP0Hgnh5d9gGbYi-6ImIAbGCkRGTtITjAeKJPkl0I7q0IXug69RN8IWVNGPEktj-IX9lxDZFzTBQ6hnLwc6ybXsKFOWnlipte1yPfbNnP1U6oSKedXQMXzkrBbymZdpvhtfp_hq1d4LaZVE1yGjg/s1600/GitHub-ads.png]

    Hades ist das Werk einer finanziell motivierten Hackergruppe namens Evil Corp, die auch unter den Namen Gold Drake und Indrik Spider bekannt ist und in den letzten fünf Jahren für den berüchtigten Trojaner Dridex (auch bekannt als Bugat) sowie für andere Ransomware-Stämme wie BitPaymer, DoppelPaymer und WastedLocker verantwortlich gemacht wurde.

    Der Wechsel von UNC2165 von Hades zu LockBit als Taktik zur Umgehung von Sanktionen soll Anfang 2021 stattgefunden haben.

    Interessanterweise diente FakeUpdates in der Vergangenheit auch als anfänglicher Infektionsvektor für die Verbreitung von Dridex, das dann als Kanal für die Einschleusung von BitPaymer und DoppelPaymer auf kompromittierte Systeme verwendet wurde.

    Mandiant stellte weitere Ähnlichkeiten zwischen UNC2165 und einer mit der Evil Corp in Verbindung stehenden Cyberspionageaktivität fest, die von der Schweizer Cybersecurity-Firma PRODAFT unter dem Namen SilverFish verfolgt wurde und auf Regierungsstellen und Fortune-500-Unternehmen in der EU und den USA abzielte.

    Auf eine erfolgreiche anfängliche Kompromittierung folgt eine Reihe von Aktionen als Teil des Angriffslebenszyklus, einschließlich der Ausweitung von Privilegien, der internen Erkundung, der seitlichen Bewegung und der Aufrechterhaltung eines langfristigen Fernzugriffs, bevor die Ransomware-Nutzdaten übermittelt werden.

    Da Sanktionen als Mittel zur Eindämmung von Ransomware-Angriffen eingesetzt werden, was wiederum die Opfer daran hindert, mit den Bedrohungsakteuren zu verhandeln, wird die Aufnahme einer Ransomware-Gruppe in eine Sanktionsliste – ohne Nennung der dahinter stehenden Personen – auch durch die Tatsache erschwert, dass cyberkriminelle Syndikate häufig dazu neigen, sich zu schließen, neu zu gruppieren und unter einem anderen Namen zu firmieren, um die Strafverfolgung zu umgehen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    „Die Übernahme einer bestehenden Ransomware ist eine natürliche Entwicklung für UNC2165, um ihre Zugehörigkeit zu Evil Corp. zu verschleiern“, sagte Mandiant, während gleichzeitig sichergestellt wird, dass Sanktionen „kein einschränkender Faktor sind, um Zahlungen von Opfern zu erhalten.“

    Die Verwendung dieses RaaS würde es UNC2165 ermöglichen, sich mit anderen verbundenen Unternehmen zu vermischen“, fügte das Unternehmen hinzu und erklärte: „Es ist plausibel, dass die Akteure hinter den Operationen von UNC2165 weiterhin zusätzliche Schritte unternehmen werden, um sich von dem Namen Evil Corp zu distanzieren.“

    Die Erkenntnisse von Mandiant, das gerade von Google übernommen wird, sind besonders wichtig, da die LockBit-Ransomware-Bande inzwischen behauptet hat, in das Netzwerk des Unternehmens eingedrungen zu sein und sensible Daten gestohlen zu haben.

    Die Gruppe drohte nicht nur damit, „alle verfügbaren Daten“ auf ihrem Datenleck-Portal zu veröffentlichen, sondern machte auch keine genauen Angaben zur Art der Inhalte in diesen Dateien. Mandiant erklärte jedoch, dass es keine Beweise für diese Behauptung gibt.

    „Mandiant hat die Daten, die in der ursprünglichen LockBit-Veröffentlichung offengelegt wurden, überprüft“, so das Unternehmen gegenüber The Hacker News. „Basierend auf den Daten, die veröffentlicht wurden, gibt es keine Hinweise darauf, dass Daten von Mandiant offengelegt wurden, sondern der Akteur scheint zu versuchen, die Forschung von Mandiant vom 2. Juni 2022 über UNC2165 und LockBit zu widerlegen“.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com