Эксперты Fox-IT рассказали о последней активности известной хакерской группы Evil Corp. По данным аналитиков, группа вернулась к жизни в январе текущего года и провела несколько вредоносных кампаний, а затем и вовсе возобновила активность с новыми инструментами.
Напомню, что группировку Evil Corp называют одной из наиболее активных и наглых среди киберпреступников. За сведения о ее членах американское правительство назначило награду в 5 миллионов долларов, а СМИ часто обсуждают слухи об их роскошном образе жизни и возможных связях с российскими спецслужбами. В начале текущего года мы постарались поподробнее разобраться в истории этой хакерской группы, образе действий и инструментах, с помощью которых она достигла своих сомнительных успехов и признания.
Ретроспектива
Evil Corp, также известная Dridex, активна примерно с 2007 года, когда несколько хакеров, ранее связанных с банковским трояном ZeuS, решили попытать счастья в распространении вредоносных программ. Сначала группа сосредоточила усилия на распространении банковского трояна Cridex, который впоследствии превратился в банкер Dridex, а еще позже в многоцелевой вредоносный набор инструментов Dridex.
Благодаря Dridex в распоряжении группировки оказался один из крупнейших ботнетов для распространения малвари и спама. Таким способом Evil Corp распространяла как собственную малварь, так и вредоносное ПО для других преступных групп, а также кастомные спамерские сообщения.
В 2016 году группирвока также начала заниматься распространением вымогателей, начиная с шифровальщика Locky. Но по мере того как фокус вымогателей начал смещаться с домашних потребителей на корпоративные цели, Evil Corp тоже адаптировалась к ситуации и создала новую вымогательскую малварь BitPaymer.
Evil Corp использовала свой гигантский ботнет из устройств, зараженных Dridex, для поиска корпоративных сетей, а затем разворачивала BitPaymer в сетях наиболее крупных предприятий, которые только удалось найти.
BitPaymer активно использовался в период между 2017 и 2019 годами, но потом атаки постепенно стали прекращаться. Причины этого спада до сих пор неясны, но он мог быть связан с тем фактом, что ботнет Dridex тоже «замедлился» в период между 2017 и 2019 годами.
Наши дни
Fox-IT пишет, что это спад активности группы завершился после обвинений Министерства юстиции США, заочно предъявленных членам Evil Corp в декабре 2019 года. После этого хакеры замолчали почти на целый месяц, вплоть до января 2020 года, но затем возобновили активность и провели несколько вредоносных кампаний, в основном для других мошенников.
Весной 2020 года Evil Corp вновь «вернулась к жизни» и на этот раз с новыми инструментами. По данным исследователей, группировка разработала новый вымогатель WastedLocker, чтобы заменить им устаревший BitPaymer, использовавшийся с начала 2017 года.
По мнению исследователей, эта малварь была написана с нуля, и анализ нового вымогателя не выявил практически никаких признаков повторного использования кода и других сходств между BitPaymer и WastedLocker. Некоторые параллели можно заметить лишь в тексте записки с требованием выкупа.
Эксперты Fox-IT отслеживают использование WastedLocker с мая 2020 года. По их данным, пока вымогатель использовался исключительно против американских компаний, а суммы выкупов, которые требует у пострадавших Evil Corp, теперь исчисляются миллионами долларов. К примеру, исследователям известен случай, когда хакеры запросили у компании 10 000 000 долларов США. Опираясь на данные с VirusTotal, аналитики говорят, что WastedLocker применялся по назначению уже как минимум пять раз.
Операторы Evil Corp очень агрессивны при развертывании нового вымогателя WastedLocker: как правило, они атакуют файловые серверы, БД-сервисы, виртуальные машины и облачные среды. Также группировка стремится нарушить работу приложений для резервного копирования и связанной с ними инфраструктуры, то есть всячески затрудняет восстановление информации для пострадавших компаний. Ведь если у компаний нет оффлайновых резервных копий, удаление бэкапов почти наверняка подтолкнет ее к выплате выкупа (если они, конечно, компании по карману новые многомиллионные «тарифы» Evil Corp).
При этом Evil Corp пока не делает того, что сейчас в тренде среди других вымогательских группировок: WastedLocker не умеет похищать данные перед их шифрованием. Напомню, что в настоящее от 10 до 15 хакерских групп заражают сети компаний, крадут конфиденциальные данные, и лишь после этого шифруют файлы, а также угрожают опубликовать похищенные данные в открытом доступе (на своих собственных сайтах или файлообмениках). Подобную тактику используют группировки Maze, Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Ako, Netwalker и так далее.
Пока Evil Corp не делает ничего подобного, и специалисты Fox-IT полагают, что это вполне осознанное решение. Дело в том, что «слив» украденных данных обычно привлекает большое внимание СМИ, чего участники Evil Corp, скорее всего, хотели бы избежать, ведь некоторые члены группы и так входят в список самых разыскиваемых ФБР преступников.
