Evil Corp-Hackergruppe ändert Ransomware-Taktik, um US-Sanktionen zu umgehen

  • Die russische Hackergruppe Evil Corp hat Berichten zufolge ihre Angriffsmethoden aktualisiert, um Sanktionen zu umgehen, die US-Unternehmen die Zahlung von Lösegeld untersagen.

    Diese Änderung wurde von der Bedrohungsdatenbank Mandiant gemeldet, die kürzlich einen Blogbeitrag veröffentlichte, in dem sie eine Reihe von Lockbit-Ransomware-Angriffen UNC2165 zuschrieb, einem Bedrohungscluster, das zahlreiche Überschneidungen mit Evil Corp aufweist.

    UNC2165 wurde 2019 vom US-Finanzministerium sanktioniert, weil es mit der Dridex-Malware Hunderte von Banken und Finanzinstituten in 40 Ländern infiziert und mehr als 10 Millionen US-Dollar gestohlen hatte.

    Aus regulatorischer Sicht hinderten diese Sanktionen die betroffenen Organisationen im Wesentlichen daran, UNC2165 ein Lösegeld zu zahlen, um den Zugriff auf ihre Systeme wiederherzustellen.

    „Diese Sanktionen hatten eine direkte Auswirkung auf die Operationen der Bedrohungsakteure, zumal zumindest einige Unternehmen, die an der Beseitigung von Ransomware beteiligt sind, sich weigern, Zahlungen an bekannte sanktionierte Unternehmen zu leisten“, schrieb Mandiant.

    „Dies kann letztlich die Fähigkeit der Bedrohungsakteure einschränken, von den Opfern bezahlt zu werden, was der Hauptantrieb für Ransomware-Operationen ist.“

    Gleichzeitig hat Evil Corp/UNC2165 Berichten zufolge in den letzten Jahren seine Taktik geändert und ist von der Ransomware WastedLocker auf die Ransomware Hades umgestiegen, um Beweise für die Beteiligung der Gruppe zu verbergen (so dass kompromittierte Unternehmen eher bereit waren, das Lösegeld zu zahlen).

    Laut Mandiant hat die Hackergruppe ihre Taktik erneut geändert und setzt seit Anfang 2021 die Ransomware-as-a-Service (RaaS) namens Lockbit ein.

    „Die Übernahme einer bestehenden Ransomware ist eine natürliche Entwicklung für UNC2165, um ihre Zugehörigkeit zur Evil Corp. zu verschleiern“, schreibt das Threat Intelligence-Unternehmen.

    „Die Verwendung dieses RaaS würde es UNC2165 ermöglichen, sich mit anderen verbundenen Unternehmen zu vermischen, was einen Einblick in frühere Phasen des Angriffslebenszyklus erfordert, um die Aktivität richtig zuordnen zu können, im Vergleich zu früheren Operationen, die möglicherweise aufgrund der Verwendung einer exklusiven Ransomware zugeordnet werden konnten.“

    Mandiant schloss seinen Beitrag mit der Vermutung, dass die Akteure hinter den UNC2165-Aktivitäten auch in Zukunft weitere Schritte unternehmen werden, um sich von dem Namen Evil Corp. zu distanzieren.

    „Wir erwarten, dass diese Akteure sowie andere, die in Zukunft sanktioniert werden, Schritte wie diese unternehmen, um ihre Identitäten zu verschleiern, um sicherzustellen, dass dies kein einschränkender Faktor ist, um Zahlungen von Opfern zu erhalten.“

    Einige Teile dieses Artikels stammen aus:
    www.infosecurity-magazine.com