Издание Bleeping Computer обратило внимание на появление шифровальщика PayloadBIN, авторство которого приписывают хак-группе Evil Corp.
Группировка Evil Corp также известна под названиями Indrik Spider и Dridex, и некогда начинала работу как филиал ботнета ZeuS. Со временем злоумышленники сформировали собственную команду, которая сосредоточилась на распространении банковского трояна и загрузчика Dridex, широкого известного в наше время.
Затем, когда «в моду» вошло вымогательское ПО, Evil Corp запустила собственного шифровальщика BitPaymer, который распространялся через Dridex. Но в 2019 году власти США предъявили обвинения двум россиянам, которые, по информации правоохранителей, стояли за разработкой малвари Dridex и другими вредоносными операциями. Также власти США ввели санкции в отношении 24 организаций и лиц, связанных с Evil Corp и упомянутых подозреваемыми. В результате компании-переговорщики, которые обычно договариваются с вымогателями об уплате выкупа и расшифровке данных, отказались «работать» с Evil Corp, чтобы избежать штрафов и судебных исков со стороны Министерства финансов США.
В ответ на это Evil Corp стала переименовывать свои вымогатели и маскировать операции, чтобы избежать санкций. Так, в арсенале группировки уже были вымогатели WastedLocker, Hades и Phoenix, а теперь журналисты пишут, что шифровальщик PayloadBIN, похоже, тоже принадлежит Evil Corp.
Соль ситуации в том, что название PayloadBIN – это новое «имя» хакерской группы, ранее известной как Babuk. Напомню, что в апреле текущего года эта группировка взломала центральный полицейский департамент округа Колумбия, а вскоре после этого сообщила, что малварь Babuk прекращает работу и станет опенсорсной.
В конце мая 2021 году сайт Babuk обновился и хакеры произвели своеобразный «ребрендинг», переименоввашись в PayloadBIN, как можно увидеть на скриншоте ниже.
В итоге, когда на VirusTotal был замечен одноименный вымогатель, многие закономерно предположили, что это новая малварь от авторов Babuk, которые на самом деле не прекратили работу. Однако все оказалось не так просто: известные ИБ-эксперты Фабиан Восар из компании Emsisoft, а также Майкл Гиллеспи из ID Ransomware убеждены, что шифровальщик PayloadBIN – дело рук Evil Corp.
Looks like EvilCorp is trying to pass off as Babuk this time. As Babuk releases their PayloadBin leak portal, EvilCorp rebrands WastedLocker once again as PayloadBin in an attempt to trick victims into violating OFAC regulations. Sample: https://t.co/k669bbaNyV
— Fabian Wosar (@fwosar) June 5, 2021
WastedLocker -> Hades -> Phoenix -> PayloadBin, all same malware/group behind it. Probably a few in-between don't care to recall at the moment.
— Michael Gillespie (@demonslay335) June 5, 2021
Восар предполагает, что хакеры увидели интересную возможность в «ребрендинге» Babuk и воспользовались ею, чтобы выдать себя за другую хак-группу, которая не подверглась санкциям.