Evil Corp вернулись..
Evil Corp, также известная как Dridex, начала свою деятельность примерно с 2007 года, когда несколько хакеров связанных с банковским трояном ZeuS, стали распространять другие вредоносные программы. Сначало это был банковский троян Cridex, который в дальнейшем трасформировался в банкер Dridex, а еще позже превратился в многофункциональный набор инструментов, следствием которых стало появление одного из самых больших ботнетов для распространения вредоносных ПО
Стоит напомнить что Evil Corp называют одной из самых наглых и активных хак-групп. Американское правительство назначало вознаграждение за информацию о личностях группировки в 5 миллионов долларов США.
В 2016 году, группа стала также заниматься вымагательством используя в своем арсенале шифровальщик Locky. Постепенно фокус атаки сместился с точечных атак обычных пользователей, на корпоративные цели. Для этого Evil Corp создала малварь вымогатель BitPaymer. Группировка использовала свой гиганский ботнет зараженных Dridex для поиска корпоративных сетей, после чего разварачивала BitPaymer в сетях наиболее крупных предприятияй.
Январь 2020 В январе этого года хакеры активизировались снова, интересно, что группировка в основном помогала проводить атаки другим киберприступникам. Весной 2020 корпорация зла, полноценно "вернулась к жизни" с новыми инструментами. В частности по данным исследователей Fox-IT хакеры разработали новый шифровальщик вымагательWastedLocker
Эксперты подчеркивают, что малварь скорее всего написан с полного нуля потому, что анализ нового вымогателя не показал практически никаких признаков повторного использования кода или других сходств между старым BitPaymer и WastedLocker. Схожести были обнаруженны только в тексте письма с требованием выкупа.
Операторы Evil Corp очень агрессивны при развертывании нового вымогателя WastedLocker: как правило, они атакуют файловые серверы, БД-сервисы, виртуальные машины и облачные среды. Также группировка стремится нарушить работу приложений для резервного копирования и связанной с ними инфраструктуры, то есть всячески затрудняет восстановление информации для пострадавших компаний. Ведь если у компаний нет оффлайновых резервных копий, удаление бэкапов почти наверняка подтолкнет ее к выплате выкупа (если они, конечно, компании по карману новые многомиллионные «тарифы» Evil Corp)
Интересно что в ходе заражения WastedLocker, хакеры не крадут сразу данные и только потом шифруют устройства, как это делают большинство хак групп вымогателей на сегоднишний день. Специалисты Fox-IT полагают, что это вполне осознанное решение, так как "слив" данных влечет за собой внимание СМИ, которое участники Evil Corp по причине и без того большого внимания ФБР, хотят избежать.