Evil Corp запустила новую программу-вымогатель под названием Macaw Locker, чтобы обойти санкции США, которые не позволяют жертвам выплачивать выкуп.
Хакерская группа Evil Corp, также известная как Индрик Паук и банда Dridex, участвует в киберпреступности с 2007 года, но в основном как аффилированные лица других организаций.
Со временем группа начала концентрироваться на собственных атаках, создав и распространяя в фишинговых атаках банковского трояна, известного как Dridex.
Переход на программы-вымогатели
По мере того, как атаки программ-вымогателей становились все более прибыльными, Evil Corp запустила операцию под названием BitPaymer, которая доставлялась через вредоносное ПО Dridex в скомпрометированные корпоративные сети.
Преступная деятельность хакерской группы в конечном итоге привела к санкциям правительства США в 2019 году.
Из-за этих санкций фирмы, ведущие переговоры о программах-вымогателях, больше не будут способствовать выплате выкупа за операции, приписываемые Evil Corp.
Чтобы обойти санкции США, Evil Corp начала создавать операции с программами-вымогателями ограниченного использования под разными именами, такими как WastedLocker, Hades, Phenoix Locker и PayloadBin.
Evil Corp начала переименовывать свои операции с программами-вымогателями на разные имена, такие как WastedLocker, Hades, Phoenix CryptoLocker и PayLoadBin .
Другим семейством программ-вымогателей, которые, как считается, но не доказано, связаны с Evil Corp, являются DoppelPaymer, недавно переименованный в Grief .
Представляем шкафчик ара
В этом месяце деятельность компаний Olympus и Sinclair Broadcast Group была серьезно нарушена из-за атак программ-вымогателей в выходные дни.
Для Синклера это привело к отмене телетрансляций, выходу в эфир различных шоу и репортажам дикторов с помощью досок и бумаги.
На этой неделе было обнаружено, что обе атаки были проведены новым вымогателем, известным как Macaw Locker.
В разговоре с техническим директором Emsisoft Фабианом Восаром BleepingComputer сказали, что на основе анализа кода MacawLocker — это последний ребрендинг семейства программ-вымогателей Evil Corp.
Источники также поделились частными страницами жертв Macaw Locker для двух атак, где злоумышленники требуют выкуп в размере 450 биткойнов или 28 миллионов долларов за одну атаку и 40 миллионов долларов за другую жертву.
Неизвестно, какая компания связана с каждым требованием выкупа.
Программа-вымогатель Macaw Locker шифрует файлы жертв и добавляет расширение .macaw к имени файла при проведении атак.
При шифровании файлов программа-вымогатель также создает заметки о выкупе в каждой папке с именем macaw_recover.txt. Для каждой атаки записка с требованием выкупа содержит уникальную страницу переговоров жертвы на сайте Tor в Macaw Locker и связанный с ней идентификатор дешифрования или идентификатор кампании, как показано ниже.
Сайт банды для переговоров в темной сети содержит краткое описание того, что случилось с жертвой, инструмент для бесплатного дешифрования трех файлов и чат для переговоров с злоумышленниками.
Теперь, когда Macaw Locker был разоблачен как вариант Evil Corp, мы, вероятно, увидим, как злоумышленники снова ребрендируют свои программы-вымогатели.
Эта постоянная игра в кошки-мышки, вероятно, никогда не закончится, пока Evil Corp не перестанет проводить атаки программ-вымогателей или пока не будут сняты санкции.
Однако ни один из этих сценариев вряд ли состоится в ближайшем будущем.
Последнее обновление 05.01.2023
