Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Вымогатели из Evil Corp выдают себя за группировку PayloadBin для избежания санкций США

07/06/21

hack71-Jun-07-2021-10-43-51-85-AMОператоры нового вымогательского ПО PayloadBIN, связанного с киберпреступной группировкой Evil Corp, пытаются избежать санкций, введенных Управлением по контролю за иностранными активами Министерства финансов США (OFAC).

Участники Evil Corp (также известной как Indrik Spider и Dridex) начинали свою деятельность в качестве партнера операторов ботнета ZeuS. Со временем Evil Corp сформировала собственную группировку, которая сосредоточилась на распространении банковского трояна под названием Dridex через фишинговые электронные письма. Когда группировки начали переходить к высокодоходным атакам программ-вымогателей, Evil Corp использовала вымогатель BitPaymer, распространяемый с помощью вредоноса Dridex на скомпрометированные корпоративные сети. После санкций со стороны правительства США в 2019 году фирмы, занимающиеся переговорами с операторами вымогателей, отказались платить выкупы за атаки Evil Corp во избежание штрафов или судебных исков со стороны Министерства финансов США. Evil Corp начала переименовывать свои кампании с использованием программ-вымогателей на WastedLocker , Hades и Phoenix с целью обойти эти санкции.

Напомним, в конце апреля нынешнего года операторы Babuk объявили о прекращении своей деятельности. Однако уже через две недели хакеры снова дали о себе знать, представив новый проект Payload Bin. Хотя хакеры больше не собираются сами похищать данные и требовать за них выкуп, они предоставят такую возможность другим киберпреступникам, у которых нет собственного названия и сайта утечек.

Специалисты издания BleepingComputer обнаружили на сервисе VirusTotal новый образец вымогательского ПО под названием PayloadBIN и изначально предположили, что вредонос был связан с ребрендингом Babuk Locker. После установки программа-вымогатель добавляет расширение .PAYLOADBIN к зашифрованным файлам. Кроме того, записка с требованием выкупа называется PAYLOADBIN-README.txt и сообщает жертве, что «сети ЗАБЛОКИРОВАНЫ с помощью программы-вымогателя PAYLOADBIN».

Предполагалось, что Babuk солгала о своих намерениях отказаться от программ-вымогателей. Однако после анализа нового вымогателя специалисты Фабиан Восар (Fabian Wosar) из Emsisoft и Майкл Гиллеспи (Michael Gillespie) из ID Ransomware подтвердили , что программа на самом деле принадлежит Evil Corp. Как предположил Восар, хакеры увидели и воспользовались возможностью выдать себя за другую группировку, которая не подверглась санкциям.

Темы:СШАсанкцииПреступленияBleeping ComputerВымогатели
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...