Kelompok kejahatan dunia maya Evil Corp kini telah beralih untuk menyebarkan ransomware LockBit pada jaringan target untuk menghindari sanksi yang dijatuhkan oleh Kantor Pengawasan Aset Asing (OFAC) Departemen Keuangan AS.
Aktif sejak 2007, Evil Corp (alias INDRIK SPIDER atau geng Dridex) dikenal karena mendorong malware Dridex dan kemudian beralih ke “bisnis” ransomware.
Geng mulai dengan ransomware Locky dan kemudian menyebarkan jenis ransomware mereka sendiri yang dikenal sebagai BitPaymer hingga 2019.
Sejak AS memberikan sanksi kepada mereka pada Desember 2019 karena menggunakan Dridex untuk menyebabkan kerugian finansial lebih dari $100 juta, grup tersebut beralih untuk memasang ransomware WastedLocker baru pada Juni 2020.
Dari Maret 2021, Evil Corp pindah ke jenis lain yang dikenal sebagai Hades ransomware, varian 64-bit dari WastedLocker yang ditingkatkan dengan kebingungan kode tambahan dan perubahan fitur kecil.
Sejak itu, para pelaku ancaman juga meniru kelompok peretas PayloadBin dan menggunakan jenis ransomware lain yang dikenal sebagai Macaw Locker dan Phoenix CryptoLocker.
Seperti yang baru-baru ini diamati oleh analis ancaman Mandiant, geng kejahatan dunia maya kini telah melakukan upaya lain untuk menjauhkan diri dari alat yang diketahui untuk memungkinkan korban membayar uang tebusan tanpa menghadapi risiko yang terkait dengan pelanggaran peraturan OFAC,
Sebuah cluster aktivitas yang dilacak oleh Mandiant sebagai UNC2165 (sebelumnya menyebarkan Hades ransomware dan ditautkan ke Evil Corp) sekarang menyebarkan ransomware sebagai afiliasi LockBit.
“Selain itu, pembaruan kode yang sering dan rebranding HADES membutuhkan sumber daya pengembangan dan masuk akal bahwa UNC2165 melihat penggunaan LOCKBIT sebagai pilihan yang lebih hemat biaya.”
Taktik baru bertindak sebagai afiliasi operasi Ransomware sebagai Layanan (RaaS) kemungkinan akan memungkinkan mereka menginvestasikan waktu yang dibutuhkan untuk pengembangan ransomware ke dalam memperluas operasi penyebaran ransomware geng.
Teori lain adalah bahwa peralihan ke alat jahat orang lain dapat memberi Evil Corp sumber daya gratis yang cukup untuk mengembangkan jenis ransomware baru dari awal, sehingga mempersulit peneliti keamanan untuk menautkan ke operasi geng sebelumnya.
“Kami berharap para pelaku ini serta pihak lain yang terkena sanksi di masa depan mengambil langkah-langkah seperti ini untuk mengaburkan identitas mereka agar tidak menjadi faktor pembatas untuk menerima pembayaran dari para korban,” tutup Mandiant.
Sumber: Bleeping Computer
