 |
Una de las mayores operaciones de malware en Internet, Evil Corp, está reanudando su actividad después de estar brevemente inactiva tras los cargos contra varios de los miembros del grupo en diciembre de 2019, según un nuevo informe de Fox-T, una división dentro del Grupo NCC .
Evil Corp, también conocida como la pandilla Dridex, ha estado activa desde 2007 y anteriormente se ha asociado al malware Dridex y al ransomware BitPaymer. El grupo Evil Corp ha estado administrando el malware Dridex desde 2014, proporcionando acceso al troyano bancario a varios grupos y actores de amenazas individuales.
Sin embargo, en 2017 Evil Corp se hizo más pequeño y usó el malware Dridex casi exclusivamente como parte de las campañas de ransomware BitPaymer que se dirigieron principalmente a usuarios en América del Norte con un número menor de víctimas en Europa occidental. Durante 2018, el grupo trabajó en colaboración con el grupo The Trick, "específicamente, alquilando el acceso a BitPaymer por un tiempo, antes de su uso de Ryuk".
“En 2019 apareció una bifurcación de BitPaymer que generalmente se conoce como DoppelPaymer, aunque este era un ransomware como servicio y, por lo tanto, no era el mismo modelo de negocio. Hemos observado cierta cooperación entre los dos grupos, pero todavía no podemos sacar conclusiones definitivas sobre la relación actual entre estos dos grupos de actores de amenazas ”, dijo el informe.
Después de revelar las acusaciones del Departamento de Justicia de EE. UU. Y las acciones contra Evil Corp como grupo del Departamento del Tesoro de EE. UU., Evil Corp guardó silencio hasta enero de 2020, cuando los investigadores observaron el uso de una variante de Gozi, a la que se refieren como Gozi ISFB 2, y una versión personalizada del cargador CobaltStrike destinado a reemplazar el marco Empire PowerShell utilizado anteriormente por la pandilla.
En cuanto al ransomware WastedLocker, los investigadores dicen que el malware surgió en mayo de este año. El nuevo ransomware tiene poco en común con el ransomware BitPaymer, aparte de algunas similitudes en la nota de rescate.
“Si bien muchas cosas han cambiado recientemente en los TTP de Evil Corp, un elemento muy notable no ha cambiado, la distribución a través del marco de actualización falso SocGholish. Este marco todavía está en uso, aunque ahora se usa para distribuir directamente un cargador CobaltStrike personalizado ”, según el informe.
Al igual que otras familias de ransomware, WastedLocker está diseñado para cifrar los archivos en la computadora infectada. Sin embargo, antes de que comience el proceso de cifrado, el malware realiza varias acciones para garantizar que el ransomware se ejecute correctamente.
Primero, descifra las cadenas que se almacenan en la sección .bss y luego calcula un valor DWORD que se usa más tarde para localizar cadenas descifradas relacionadas con el proceso de cifrado. En el caso de que el malware no se ejecute con derechos de administrador o si el host infectado ejecuta Windows Vista o posterior, WastedLocker intentará elevar sus privilegios utilizando un conocido método de omisión de UAC.
Los investigadores señalaron que, en lugar de una lista de objetivos de extensión, WastedLocker incluye una lista de directorios y extensiones para excluir del proceso de cifrado. Los archivos con un tamaño inferior a 10 bytes también se ignoran y, en el caso de un archivo grande, el ransomware los cifra en bloques de 64 MB.
“Para cada archivo encriptado, el ransomware crea un archivo adicional que incluye la nota de ransomware. La extensión del archivo cifrado se establece de acuerdo con el nombre de las organizaciones objetivo junto con el prefijo desperdiciado (de ahí el nombre que le hemos dado a este ransomware) ", según el informe.
Según las muestras enviadas a VirusTotal, los investigadores estiman que WastedLocker ya se usó como carga útil de ransomware en un puñado de casos, alrededor de 5, aunque creen que la cantidad de infecciones podría ser mayor.
