邪恶网络犯罪集团转向锁定勒索软件以逃避制裁

被称为UNC2165的威胁集群与总部位于俄罗斯的网络犯罪集团邪恶集团（Evil Corp）有许多重叠之处，该集群与多起锁位勒索软件入侵有关，试图规避美国财政部2019年12月实施的制裁。

威胁情报公司曼迪安（Mandiant）上周在一份分析报告中指出：“这些行为体已经从使用独家勒索软件改用LockBit—；这是一种著名的勒索软件即服务（RaaS）—；，这可能会阻碍归因努力，以逃避制裁。”

自2019年以来，UNC2165一直处于活动状态，已知它通过被盗凭据和一个名为FakeUpdates（又名Sockholish）的基于JavaScript的下载恶意软件获得对受害者网络的初始访问权限，利用它以前部署Hades勒索软件。

Hades是一个名为Evil Corp的出于财务动机的黑客组织的作品，该组织也被称为Gold Drake和Indrik Spider，过去五年来一直被认为是臭名昭著的Dridex（又名Bugat）特洛伊木马以及BitPaymer、DoppelPaymer和WastedLocker等其他勒索软件的产物。

UNC2165从地狱转向锁具，作为一种逃避制裁的策略，据说发生在2021年初。

有趣的是，FakeUpdates在过去也曾作为分发Dridex的初始感染媒介，然后用作将BitPaymer和DoppelPaymer投放到受损系统的管道。

Mandiant表示，它注意到UNC2165与瑞士网络安全公司PRODAFT以SilverFish的名义追踪的一项与邪恶集团有关的网络间谍活动之间的进一步相似之处，该公司的目标是欧盟和美国的政府实体和财富500强公司。

在交付勒索软件有效载荷之前，成功的初始妥协之后是作为攻击生命周期一部分的一系列行动，包括权限提升、内部侦察、横向移动和维护长期远程访问。

将制裁作为控制勒索软件攻击的手段，反过来又禁止受害者与威胁行为者谈判，将勒索软件集团加入制裁名单；没有说出背后的人；网络犯罪集团往往会以不同的名义关闭、重组和重新命名，以规避执法，这一事实也使情况变得复杂。

曼迪安说：“采用现有勒索软件是UNC2165试图掩盖其与邪恶集团的联系的自然演变”，同时也确保制裁“不是从受害者那里获得付款的限制因素”

该公司补充道：“使用这种RaaS将使UNC2165与其他附属公司融为一体，并表示，“UNC2165运营背后的参与者可能会继续采取其他措施，与邪恶的公司名称保持距离。"

Mandiant正在被谷歌收购，该公司的调查结果尤其重要，因为LockBit勒索软件团伙自那以来一直声称其已侵入该公司的网络并窃取了敏感数据。

该组织除了威胁要在其数据泄露门户上发布“所有可用数据”外，没有具体说明这些文件中内容的确切性质。然而，Mandiant表示，没有证据支持这一说法。

该公司告诉《黑客新闻》：“Mandiant已经审查了最初LockBit版本中披露的数据。”。“根据已发布的数据，没有迹象表明Mandiant的数据已被披露，但这位参与者似乎试图反驳Mandiant于2022年6月2日对UNC2165和LockBit的研究。”