研究人員發(fā)現(xiàn)，由于美國的制裁，使得該網(wǎng)絡(luò)犯罪集團(tuán)難以從其攻擊活動中獲得經(jīng)濟(jì)利益后，該犯罪集團(tuán)再次改變了攻擊策略，這次轉(zhuǎn)向使用了LockBit勒索軟件。

Mandiant Intelligence的研究人員一直在追蹤一個有經(jīng)濟(jì)犯罪動機(jī)的網(wǎng)絡(luò)威脅團(tuán)伙，他們被稱之為UNC2165，它與Evil Corp有許多相似之處，這很可能是該集團(tuán)最新的身份。

研究人員在周四發(fā)表的一份報告中寫道，UNC2165正在使用FakeUpdates感染鏈來獲得對目標(biāo)網(wǎng)絡(luò)的訪問權(quán)限，然后使用LockBit勒索軟件來獲得贖金。他們寫道，這項攻擊活動似乎是Evil Corp攻擊者的另一種新的攻擊方式。

研究人員寫道，許多調(diào)查報告都報道了相關(guān)攻擊活動的最新進(jìn)展，包括開發(fā)新的勒索軟件并且減少對Dridex的依賴程度，盡管這些方式能夠很好的隱藏攻擊者的身份，但UNC2165與Evil Corp的攻擊行動還是有很明顯的相似之處。

美國財政部外國資產(chǎn)管制處（OFAC）于2019年12月制裁了Evil Corp，對這個作案多起的網(wǎng)絡(luò)犯罪集團(tuán)進(jìn)行了廣泛的打擊，該集團(tuán)由于傳播上述用以竊取信息的Dridex惡意軟件和他們自己的WastedLocker勒索軟件而聞名。

該制裁措施基本上禁止了任何美國實體與該集團(tuán)進(jìn)行貿(mào)易往來以及建立任何聯(lián)系，該措施能夠有效地防止美國金融公司為該集團(tuán)的贖金支付提供便利，也能夠限制其在犯罪活動中的獲利。

隱藏的網(wǎng)絡(luò)犯罪分子

在大量的制裁以及隨后對其領(lǐng)導(dǎo)人的起訴后，Evil Corp暫時停頓了一下，但此后通過巧妙的塑造新的品牌來繼續(xù)其惡意的攻擊行為。

事實上，它最近的身份轉(zhuǎn)變并不是該組織第一次使用不同的身份來試圖規(guī)避對它的制裁。據(jù)報道，大約一年前，Evil Corp曾經(jīng)試圖通過使用一款名為PayloadBin的勒索軟件來掩蓋自己的身份，研究人員發(fā)現(xiàn)這可能是該集團(tuán)WastedLocker勒索軟件的最新版。

在此之前，該組織在外國資產(chǎn)管制處制裁后不久后又短暫出現(xiàn)，并采取了新的攻擊策略來嘗試掩蓋其身份。他們使用HTML重定向器或者使用meta刷新標(biāo)簽將用戶重定向到另一個網(wǎng)站等攻擊手段，然后使用惡意的Excel文件來投放有效載荷。

最新的攻擊身份

據(jù)Mandiant稱，Evil Corp的最新攻擊活動幾乎完全是在一個名為UNC1543的組織的支持下進(jìn)入到了受害者的網(wǎng)絡(luò)中的，因為在攻擊中使用的FakeUpdates工具與該組織有密切關(guān)聯(lián)。在政府起訴Evil Corp之前的幾個月里，這種方法一直被用作Dridex和BitPaymer以及DoppelPaymer勒索軟件的初始感染載體。

研究人員說，Evil Corp最近還在部署其他勒索軟件，特別是Hades。他們說，Hades的代碼和功能與其他勒索軟件有很多相似之處，研究發(fā)現(xiàn)該工具與Evil Corp相關(guān)的威脅攻擊者有密切關(guān)系。

研究人員說，使用其他的勒索軟件的確可以使Evil Corp保持很好的隱秘性。

然而，他們說，LockBit比Hades更為自然，因為它使用的RaaS模式是近幾年才出現(xiàn)的模式。事實上，LockBit在去年已經(jīng)攻下了一些大名鼎鼎的目標(biāo)，如埃森哲和曼谷航空。

研究人員寫道，使用這個RaaS模式可以使UNC2165與其他網(wǎng)絡(luò)攻擊集團(tuán)更難區(qū)分開。此外，頻繁的更新代碼以及重塑品牌需要大量的開發(fā)資源投入，UNC2165認(rèn)為使用LOCKBIT是一個更具成本效益的選擇，這是值得的。

這一舉措很有意義

一位安全專家指出，由于勒索軟件運營商會像其他企業(yè)領(lǐng)導(dǎo)人一樣看待他們的業(yè)務(wù)，因此，他們也必須與時俱進(jìn)，在市場地位上保持領(lǐng)先，并像其他集團(tuán)一樣獲得利潤，這是很合理的。

安全研究員James McQuiggan在給媒體的一封電子郵件中說，對于網(wǎng)絡(luò)犯罪分子來說，他們需要不斷開發(fā)他們的應(yīng)用程序和加密功能，避免被系統(tǒng)發(fā)現(xiàn)，并通過使用各種方法敲詐錢財。 

他說，鑒于這種觀點，Evil Corp會利用其他勒索軟件來繼續(xù)保持其在市場上的地位，更重要的是，這樣做可以獲得報酬。由于Evil Corp會將自己隱藏于其他勒索軟件團(tuán)體的活動中，目標(biāo)也很可能會支付高昂的勒索費用，他們也不用擔(dān)心政府會對真正的犯罪者進(jìn)行法律制裁。

文章翻譯自：https://threatpost.com/evil-corp-pivots-to-lockbit-to-dodge-u-s-sanctions/179858/如若轉(zhuǎn)載，請注明原文地址。