網絡犯罪集團為了躲避制裁而使用LockBit勒索軟件

研究人員發現，由于美國的制裁，使得該網絡犯罪集團難以從其攻擊活動中獲得經濟利益后，該犯罪集團再次改變了攻擊策略，這次轉向使用了LockBit勒索軟件。

Mandiant Intelligence的研究人員一直在追蹤一個有經濟犯罪動機的網絡威脅團伙，他們被稱之為UNC2165，它與Evil Corp有許多相似之處，這很可能是該集團最新的身份。

研究人員在周四發表的一份報告中寫道，UNC2165正在使用FakeUpdates感染鏈來獲得對目標網絡的訪問權限，然后使用LockBit勒索軟件來獲得贖金。他們寫道，這項攻擊活動似乎是Evil Corp攻擊者的另一種新的攻擊方式。

研究人員寫道，許多調查報告都報道了相關攻擊活動的最新進展，包括開發新的勒索軟件并且減少對Dridex的依賴程度，盡管這些方式能夠很好地隱藏攻擊者的身份，但UNC2165與Evil Corp的攻擊行動還是有很明顯的相似之處。

美國財政部外國資產管制處（OFAC）于2019年12月制裁了Evil Corp，對這個作案多起的網絡犯罪集團進行了廣泛的打擊，該集團由于傳播上述用以竊取信息的Dridex惡意軟件和他們自己的WastedLocker勒索軟件而聞名。

該制裁措施基本上禁止了任何美國實體與該集團進行貿易往來以及建立任何聯系，該措施能夠有效地防止美國金融公司為該集團的贖金支付提供便利，也能夠限制其在犯罪活動中的獲利。

隱藏的網絡犯罪分子

在大量的制裁以及隨后對其領導人的起訴后，Evil Corp暫時停頓了一下，但此后通過巧妙的塑造新的品牌來繼續其惡意的攻擊行為。

事實上，它最近的身份轉變并不是該組織第一次使用不同的身份來試圖規避對它的制裁。據報道，大約一年前，Evil Corp曾經試圖通過使用一款名為PayloadBin的勒索軟件來掩蓋自己的身份，研究人員發現這可能是該集團WastedLocker勒索軟件的最新版。

在此之前，該組織在外國資產管制處制裁后不久后又短暫出現，并采取了新的攻擊策略來嘗試掩蓋其身份。他們使用HTML重定向器或者使用meta刷新標簽將用戶重定向到另一個網站等攻擊手段，然后使用惡意的Excel文件來投放有效載荷。

最新的攻擊身份

據Mandiant稱，Evil Corp的最新攻擊活動幾乎完全是在一個名為UNC1543的組織的支持下進入到了受害者的網絡中的，因為在攻擊中使用的FakeUpdates工具與該組織有密切關聯。在政府起訴Evil Corp之前的幾個月里，這種方法一直被用作Dridex和BitPaymer以及DoppelPaymer勒索軟件的初始感染載體。

研究人員說，Evil Corp最近還在部署其他勒索軟件，特別是Hades。他們說，Hades的代碼和功能與其他勒索軟件有很多相似之處，研究發現該工具與Evil Corp相關的威脅攻擊者有密切關系。

研究人員說，使用其他的勒索軟件的確可以使Evil Corp保持很好的隱秘性。

然而，他們說，LockBit比Hades更為自然，因為它使用的RaaS模式是近幾年才出現的模式。事實上，LockBit在去年已經攻下了一些大名鼎鼎的目標，如埃森哲和曼谷航空。

研究人員寫道，使用這個RaaS模式可以使UNC2165與其他網絡攻擊集團更難區分開。此外，頻繁地更新代碼以及重塑品牌需要大量的開發資源投入，UNC2165認為使用LOCKBIT是一個更具成本效益的選擇，這是值得的。

這一舉措很有意義

一位安全專家指出，由于勒索軟件運營商會像其他企業領導人一樣看待他們的業務，因此，他們也必須與時俱進，在市場地位上保持領先，并像其他集團一樣獲得利潤，這是很合理的。

安全研究員James McQuiggan在給媒體的一封電子郵件中說，對于網絡犯罪分子來說，他們需要不斷開發他們的應用程序和加密功能，避免被系統發現，并通過使用各種方法敲詐錢財。 

他說，鑒于這種觀點，Evil Corp會利用其他勒索軟件來繼續保持其在市場上的地位，更重要的是，這樣做可以獲得報酬。由于Evil Corp會將自己隱藏于其他勒索軟件團體的活動中，目標也很可能會支付高昂的勒索費用，他們也不用擔心政府會對真正的犯罪者進行法律制裁。

參考及來源：

https://threatpost.com/evil-corp-pivots-to-lockbit-to-dodge-u-s-sanctions/179858/