منو سایت

  • خانه
  • اخبار استارتاپ
  • هکرهای Evil Corp در حال توسعه تاکتیک‌های باج‌گیری برای فرار از تحریم‌های آمریکا هستند

هکرهای Evil Corp در حال توسعه تاکتیک‌های باج‌گیری برای فرار از تحریم‌های آمریکا هستند

 تاریخ انتشار :
/
  اخبار استارتاپ
Log4Shell برای هک سرورهای VMWare استفاده می شود

بر اساس مطالعه شرکت امنیت سایبری Mandiant، یک گروه جرایم سایبری مستقر در روسیه به نام Evil Corp در تلاش برای دور زدن تحریم‌های ایالات متحده به مدل باج‌افزار به عنوان یک سرویس روی آورده است.

دفتر کنترل دارایی های خارجی وزارت خزانه داری ایالات متحده یا OFAC، شرکت Evil Corp را در دسامبر 2019 با استناد به توسعه گسترده گروه بدافزار Dridex، تحریم کرد، که این باند از آن برای سرقت بیش از 100 میلیون دلار از صدها بانک و موسسه مالی استفاده می کند.

از آن زمان، محققان Mandiant تعدادی از نفوذهای باج‌افزار منتسب به یک شرکت‌کننده در تهدید را مشاهده کرده‌اند که او آن‌ها را به‌عنوان یک گروه تهدید هنوز دسته‌بندی نشده به نام UNC2165 دنبال می‌کند، که شرکت اطلاعات تهدید می‌گوید که «همپوشانی‌های متعدد» با Evil Corp دارد و احتمالاً نشان‌دهنده تکامل دیگری است. در عملیات بازیگران مرتبط با Evil Corp.

UNC2165 گروهی است که Mandiant از سال 2019 ردیابی می‌کند و تقریباً به طور انحصاری از طریق زنجیره عفونتی که Mandiant آن را «FakeUpdates» می‌نامد، به شبکه‌ها دسترسی دارد، که در آن قربانیان فریب خورده‌اند تا تحت پوشش به‌روزرسانی مرورگر باز شوند. این تاکتیکی بود که همچنین به عنوان یک ناقل عفونت برای عفونت‌های Dridex مورد استفاده قرار گرفت و بعداً توسط مهاجمان Evil Corp برای استقرار BitPaymer و WastedLocker، دو نوع باج‌افزار توسعه‌یافته توسط گروه هکرهای تحریم‌شده، استفاده شد.

UNC2165 همچنین نرم‌افزار رستگاری Hades را پیاده‌سازی کرده است که دارای کد و شباهت‌های عملکردی با سایر باج‌افزارهایی است که گمان می‌رود به تهدیدات مربوط به Evil Corp مرتبط باشند. به طور مشابه، محققان Mandiant همپوشانی‌های زیرساختی را پیدا کردند و اضافه کردند که سرورهای فرماندهی و کنترل اختصاص داده شده به UNC2165 نیز به‌طور عمومی توسط سایر ارائه‌دهندگان امنیتی در ارتباط با فعالیت‌های ادعایی Evil Corp گزارش شده‌اند.

Mandiant می‌گوید که او همچنین تهدید را با استفاده از LockBit، یک عملیات باج‌افزار معروف به‌عنوان سرویسی که اجازه می‌دهد تهدید با دیگر شرکت‌های وابسته ادغام شود، رصد کرده است. اگرچه این اولین بار نیست که شاهد تغییر تاکتیک‌های شرکت Evil برای اجتناب از تحریم‌ها هستیم، Mandiant خاطرنشان می‌کند که تغییر به مدل خرید به‌عنوان یک سرویس، به‌طور مؤثر کشورهای جنایتکار دیگری را که ممکن است هدف را انتخاب کرده و مرتکب نفوذ شده باشند، پنهان می‌کند. تا از مزیت مدل برای انجام عملیات خود به صورت ناشناس استفاده کنند.

در این گزارش آمده است: «بر اساس همپوشانی‌هایی که بین UNC2165 و Evil Corp. وجود دارد، ما با اطمینان فراوان از این که این شرکت‌کنندگان از استفاده از باج‌افزار انحصاری LockBit در عملیات‌های خود منحرف شده‌اند، قدردانی می‌کنیم، که احتمالاً تلاش‌های انتساب برای اجتناب از تحریم‌ها را مختل می‌کند.» استفاده از یک باج‌افزار موجود، یک تکامل طبیعی برای UNC2165 است تا بتواند ارتباط خود را با Evil Corp پنهان کند. پذیرش آن همچنین می‌تواند به طور موقت به بازیگران زمان بیشتری برای توسعه یک باج‌افزار کاملاً جدید از ابتدا بدهد و توانایی محققان امنیتی را برای پیوند آسان آن با عملیات‌های قبلی Evil Corp محدود کند.

خبر تکامل دیگری از Evil Corp تنها چند روز پس از آن منتشر شد که باند خرید غیرقابل‌وجود REvil – که در گذشته به فعالیت‌های منتسب به Evil Corp مرتبط بود – مسئولیت کمپین انکار خدمات توزیع‌شده علیه کلاینت ابری Akamai را بر عهده گرفت. با این حال، محققان گفتند که این احتمال وجود دارد که این حمله احیای گروه جنایات سایبری رسوایی نباشد، بلکه یک عملیات کپی برداری باشد.

هک Olympus در ایالات متحده در ارتباط با یک گروه باج خواهی روسیه تحریم شده است