A Evil Corp, uma das maiores operações de malware do planeta, voltou à vida após as acusações de DOJ de dezembro de 2019 com uma nova variedade de ransomware.
A Evil Corp, uma das maiores operações de malware da Internet, voltou lentamente à vida depois que vários de seus membros foram acusados pelo Departamento de Justiça dos EUA em dezembro de 2019.
Em um relatório compartilhado com o ZDNet hoje, a Fox-IT, uma divisão do Grupo NCC, detalhou as atividades mais recentes do grupo após as acusações do Departamento de Justiça.
BREVE HISTÓRIA DO CORPO MAL
O grupo Evil Corp, também conhecido como a gangue Dridex, está ativo desde 2007, quando vários membros anteriormente envolvidos com o Trojan bancário ZeuS decidiram tentar a própria sorte na distribuição de malware.
Os esforços iniciais concentraram-se na distribuição do Trojan bancário Cridex, uma variedade de malware que mais tarde evoluiu para o Trojan bancário Dridex, e posteriormente posteriormente para o kit de ferramentas de malware multiuso Dridex.
Ao longo dos anos, a Evil Corp, através de sua operação Dridex, tornou-se uma das maiores botnets de malware e spam da Internet. O grupo distribuiu seu próprio malware, mas também malware para outros grupos criminosos, juntamente com mensagens de spam personalizadas.
O grupo mergulhou os dedos na distribuição de ransomware, espalhando o ransomware Locky para os consumidores domésticos ao longo de 2016.
Quando o mercado de ransomware começou a mudar a segmentação dos consumidores domésticos para os corporativos, a gangue da Evil Corp também se adaptou e, depois de eliminar definitivamente a tensão Locky, eles criaram um novo ransomware personalizado chamado BitPaymer.
O grupo usou sua vasta rede de computadores infectados com o malware Dridex para procurar redes corporativas e, em seguida, implantar o BitPaymer nos maiores alvos corporativos que eles pudessem identificar.
O grupo operou o BitPaymer entre 2017 e 2019, quando novas infecções começaram a cair. As razões não são claras, mas a desaceleração das infecções pelo BitPaymer também pode ter algo a ver com a botnet Dridex, que diminui a atividade entre 2017 e 2019.
APÓS AS TAXAS DOJ
A Fox-IT diz que essa desaceleração culminou com as acusações do DOJ apresentadas em dezembro de 2019. Após as acusações de alto perfil, o grupo ficou em silêncio por um mês inteiro até janeiro de 2020.
Segundo a Fox-IT, o grupo voltou à vida em janeiro e lançou algumas campanhas de malware, geralmente para outros criminosos, até março, quando eles ficaram em silêncio novamente.
No entanto, quando o grupo voltou à vida pela segunda vez em 2020, o fez com novas ferramentas. A Fox-IT diz que o grupo criou uma nova variedade de ransomware para substituir a variante BitPaymer antiga que eles usam desde o início de 2017.
As razões reais para substituir o BitPaymer estão envoltas em mistério; no entanto, a Fox-IT diz que essa substituição parece ser uma variedade de ransomware totalmente nova, escrita do zero.
EVIL CORP COMEÇA A IMPLEMENTAR WASTEDLOCKER
A Fox-IT diz que nomeou esse novo ransomware WastedLocker com base na extensão que ele adiciona aos arquivos criptografados, geralmente consistindo no nome da vítima e na string “desperdiçada”.
Pesquisadores de segurança dizem que uma análise desse novo ransomware revelou pouca reutilização ou semelhança de código entre o BitPaymer e o WastedLocker; no entanto, algumas semelhanças ainda permanecem no texto da nota de resgate.
Em entrevista ao ZDNet hoje, a Fox-IT diz que acompanha o uso dessa nova família de ransomware desde maio de 2020. Eles dizem que o ransomware foi implantado exclusivamente contra empresas americanas.
“As demandas de resgate solicitadas pela Evil Corp agora estão na casa dos milhões”, disse Maarten van Dantzig, pesquisador de segurança da Fox-IT, à ZDNet hoje.
“Vimos demandas de mais de US $ 10 milhões”, acrescentou.
A Fox-IT disse que não conseguiu confirmar se alguma das vítimas do WastedLocker pagou as exigências do resgate.
No entanto, eles dizem que os operadores da Evil Corp são extremamente agressivos ao implantar o novo ransomware WastedLocker.
“Normalmente, eles atingem servidores de arquivos, serviços de banco de dados, máquinas virtuais e ambientes em nuvem”, disseram os pesquisadores.
Além disso, a equipe de Fox-IT diz que a Evil Corp também tentará interromper os aplicativos de backup e a infraestrutura relacionada, na tentativa de aumentar o tempo necessário para as empresas se recuperarem. Caso as empresas não tenham backups offline, a exclusão dos backups quase certamente leva as vítimas a pagar o resgate – se puderem pagar os novos “preços de descriptografia” de vários milhões de dólares da Evil Corp.
“Com base nas amostras enviadas ao VirusTotal, estimamos que o WastedLocker já foi usado como carga útil de ransomware em vários casos – cerca de 5, provavelmente mais ainda”, disse Michael Zee, pesquisador de segurança da Fox-IT, à ZDNet.
Nenhum roubo de dados ou site de vazamento
Ainda assim, a Fox-IT diz que a Evil Corp não fez uma coisa muito popular entre outras gangues de ransomware no momento.
Apesar de gastar todo esse tempo desenvolvendo uma nova variedade de ransomware, o WastedLocker não inclui nenhuma função de roubo de dados.
Atualmente, quase 10 a 15 grupos de ransomware infectam a rede de uma empresa, roubam dados proprietários e ameaçam publicar os arquivos online, nos chamados sites de vazamentos ou portais de compartilhamento de arquivos.
A Evil Corp não faz nada disso, disse a Fox-IT. Isso não significa que o grupo não possa fazê-lo, mas que eles optaram por não fazê-lo. Especialistas da Fox-IT dizem que o vazamento de dados roubados geralmente atrai muita atenção da mídia, algo que os hackers provavelmente estão tentando evitar, já que alguns de seus membros já estão na lista de Cyber Most Wanted do FBI e não querem que as autoridades americanas priorizem suas prisões.
Fonte: (https://www.zdnet.com/)
