Издание Bleeping Computer обратило внимание на появление шифровальщика PayloadBIN, авторство которого приписывают хак-группе Evil Corp.

Группировка Evil Corp также известна под названиями Indrik Spider и Dridex, и некогда начинала работу как филиал ботнета ZeuS. Со временем злоумышленники сформировали собственную команду, которая сосредоточилась на распространении банковского трояна и загрузчика Dridex, широкого известного в наше время.

Затем, когда «в моду» вошло вымогательское ПО, Evil Corp запустила собственного шифровальщика BitPaymer, который распространялся через Dridex. Но в 2019 году власти США предъявили обвинения двум россиянам, которые, по информации правоохранителей, стояли за разработкой малвари Dridex и другими вредоносными операциями. Также власти США ввели санкции в отношении 24 организаций и лиц, связанных с Evil Corp и упомянутых подозреваемыми. В результате компании-переговорщики, которые обычно договариваются с вымогателями об уплате выкупа и расшифровке данных, отказались «работать» с Evil Corp, чтобы избежать штрафов и судебных исков со стороны Министерства финансов США.

В ответ на это Evil Corp стала переименовывать свои вымогатели и маскировать операции, чтобы избежать санкций. Так, в арсенале группировки уже были вымогатели WastedLocker, Hades и Phoenix, а теперь журналисты пишут, что шифровальщик PayloadBIN, похоже, тоже принадлежит Evil Corp.

Соль ситуации в том, что название PayloadBIN – это новое «имя» хакерской группы, ранее известной как Babuk. Напомню, что в апреле текущего года эта группировка взломала центральный полицейский департамент округа Колумбия, а вскоре после этого сообщила, что малварь Babuk прекращает работу и станет опенсорсной.

В конце мая 2021 году сайт Babuk обновился и хакеры произвели своеобразный «ребрендинг», переименоввашись в PayloadBIN, как можно увидеть на скриншоте ниже.

В итоге, когда на VirusTotal был замечен одноименный вымогатель, многие закономерно предположили, что это новая малварь от авторов Babuk, которые на самом деле не прекратили работу. Однако все оказалось не так просто: известные ИБ-эксперты Фабиан Восар из компании Emsisoft, а также Майкл Гиллеспи из ID Ransomware убеждены, что шифровальщик PayloadBIN – дело рук Evil Corp.

Восар предполагает, что хакеры увидели интересную возможность в «ребрендинге» Babuk и воспользовались ею, чтобы выдать себя за другую хак-группу, которая не подверглась санкциям.

Оставить мнение