Совсем недавно специалисты Fox-IT рассказали о последней активности известной хакерской группы Evil Corp, которую часто связывают с российскими спецслужбами. Эксперты обнаружили, что в 2020 году злоумышленники заменили устаревший вымогатель BitPaymer, использовавшийся ими с начала 2017 года, более современной малварью, получившей название WastedLocker.
Эксперты Fox-IT считают, что использование WastedLocker началось в мае 2020 года. По их данным, пока вымогатель использовался исключительно против американских компаний, а суммы выкупов, которые требует у пострадавших Evil Corp, исчисляются миллионами долларов. К примеру, исследователям известен случай, когда хакеры запросили у компании 10 000 000 долларов США. Опираясь на данные с VirusTotal, аналитики писали, что WastedLocker применялся по назначению как минимум пять раз.
Теперь собственный доклад, посвященный активности WastedLocker, представила компания Symantec. По информации аналитиков, в настоящее время речь идет далеко не о пяти жертвах: атакована как минимум 31 американская организация. Большинство пострадавших — это крупные и хорошо известные корпорации. Список предполагаемых жертв хакеров включает в себя крупные частные компании, а также 11 публичных компаний, 8 из которых входят в список Fortune 500.
Злоумышленники не сфокусировались на каком-то конкретном секторе и атаковали самые разные отрасли: больше всего пострадали производители (5 организаций), за ними следуют ИТ-компании (4 жертвы), а также СМИ и телекоммуникации (3 жертвы).
Эксперты Symantec подчеркивают, что их статистика учитывает только атаки непосредственно против клиентов компании, то есть общее число жертв WastedLocker может быть намного выше.
«Если бы планы злоумышленники не были сорваны, успешные атаки могли бы привести к миллионным убыткам, простоям и возможному эффекту домино в области цепочек поставок», — предупреждают специалисты.
Компания подтверждает данные аналитиков Fox-IT: операторы WastedLocker используют фреймворк SocGholish на основе JavaScript для развертывания малвари. Также утверждается, что удалось обнаружить более 150 скомпрометированных сайтов, якобы предназначенных для обновления программного обеспечения.
«После того, как злоумышленники получают доступ к сети жертвы, они используют Cobalt Strike в тандеме с несколькими другими инструментами, предназначенными для кражи учетных данных, повышения привилегий и распространения по сети. Все это используется для развертывания вымогателя WastedLocker на большем количестве компьютеров», — пишут эксперты Symantec.