بر اساس مطالعه شرکت امنیت سایبری Mandiant، یک گروه جرایم سایبری مستقر در روسیه به نام Evil Corp در تلاش برای دور زدن تحریمهای ایالات متحده به مدل باجافزار به عنوان یک سرویس روی آورده است.
دفتر کنترل دارایی های خارجی وزارت خزانه داری ایالات متحده یا OFAC، شرکت Evil Corp را در دسامبر 2019 با استناد به توسعه گسترده گروه بدافزار Dridex، تحریم کرد، که این باند از آن برای سرقت بیش از 100 میلیون دلار از صدها بانک و موسسه مالی استفاده می کند.
از آن زمان، محققان Mandiant تعدادی از نفوذهای باجافزار منتسب به یک شرکتکننده در تهدید را مشاهده کردهاند که او آنها را بهعنوان یک گروه تهدید هنوز دستهبندی نشده به نام UNC2165 دنبال میکند، که شرکت اطلاعات تهدید میگوید که «همپوشانیهای متعدد» با Evil Corp دارد و احتمالاً نشاندهنده تکامل دیگری است. در عملیات بازیگران مرتبط با Evil Corp.
UNC2165 گروهی است که Mandiant از سال 2019 ردیابی میکند و تقریباً به طور انحصاری از طریق زنجیره عفونتی که Mandiant آن را «FakeUpdates» مینامد، به شبکهها دسترسی دارد، که در آن قربانیان فریب خوردهاند تا تحت پوشش بهروزرسانی مرورگر باز شوند. این تاکتیکی بود که همچنین به عنوان یک ناقل عفونت برای عفونتهای Dridex مورد استفاده قرار گرفت و بعداً توسط مهاجمان Evil Corp برای استقرار BitPaymer و WastedLocker، دو نوع باجافزار توسعهیافته توسط گروه هکرهای تحریمشده، استفاده شد.
UNC2165 همچنین نرمافزار رستگاری Hades را پیادهسازی کرده است که دارای کد و شباهتهای عملکردی با سایر باجافزارهایی است که گمان میرود به تهدیدات مربوط به Evil Corp مرتبط باشند. به طور مشابه، محققان Mandiant همپوشانیهای زیرساختی را پیدا کردند و اضافه کردند که سرورهای فرماندهی و کنترل اختصاص داده شده به UNC2165 نیز بهطور عمومی توسط سایر ارائهدهندگان امنیتی در ارتباط با فعالیتهای ادعایی Evil Corp گزارش شدهاند.
Mandiant میگوید که او همچنین تهدید را با استفاده از LockBit، یک عملیات باجافزار معروف بهعنوان سرویسی که اجازه میدهد تهدید با دیگر شرکتهای وابسته ادغام شود، رصد کرده است. اگرچه این اولین بار نیست که شاهد تغییر تاکتیکهای شرکت Evil برای اجتناب از تحریمها هستیم، Mandiant خاطرنشان میکند که تغییر به مدل خرید بهعنوان یک سرویس، بهطور مؤثر کشورهای جنایتکار دیگری را که ممکن است هدف را انتخاب کرده و مرتکب نفوذ شده باشند، پنهان میکند. تا از مزیت مدل برای انجام عملیات خود به صورت ناشناس استفاده کنند.
در این گزارش آمده است: «بر اساس همپوشانیهایی که بین UNC2165 و Evil Corp. وجود دارد، ما با اطمینان فراوان از این که این شرکتکنندگان از استفاده از باجافزار انحصاری LockBit در عملیاتهای خود منحرف شدهاند، قدردانی میکنیم، که احتمالاً تلاشهای انتساب برای اجتناب از تحریمها را مختل میکند.» استفاده از یک باجافزار موجود، یک تکامل طبیعی برای UNC2165 است تا بتواند ارتباط خود را با Evil Corp پنهان کند. پذیرش آن همچنین میتواند به طور موقت به بازیگران زمان بیشتری برای توسعه یک باجافزار کاملاً جدید از ابتدا بدهد و توانایی محققان امنیتی را برای پیوند آسان آن با عملیاتهای قبلی Evil Corp محدود کند.
خبر تکامل دیگری از Evil Corp تنها چند روز پس از آن منتشر شد که باند خرید غیرقابلوجود REvil – که در گذشته به فعالیتهای منتسب به Evil Corp مرتبط بود – مسئولیت کمپین انکار خدمات توزیعشده علیه کلاینت ابری Akamai را بر عهده گرفت. با این حال، محققان گفتند که این احتمال وجود دارد که این حمله احیای گروه جنایات سایبری رسوایی نباشد، بلکه یک عملیات کپی برداری باشد.