New Evil Corp ransomware mimics PayloadBin gang to evade US sanctions
2021/06/06 BleepingComputer — 新種のランサムウェアである PayloadBIN だが、US Treasury Department’s Office of Foreign Assets Control (OFAC) の制裁を逃れるためにブランド名を変更した、サイバー犯罪組織 Evil Corp が作成したものだとされる。
Evil Corp は、Indrik Spider や Dridex とも呼ばれるギャングであり、ZeuS ボットネットのアフィリエイトとしてスタートしている。その後、Dridex と呼ばれるグループが形成され、バンキング・トロイの木馬とダウンローダーを、フィッシング・メールで配布する活動に入っている。サイバー・ギャングたちが収益性の高いランサムウェア攻撃に移行し始めると、Evil Corp は BitPaymer と呼ばれるランサムウェア運用を開始し、侵害した企業ネットワーク内の Dridex マルウェアを介して、それらを配信した。
2019年に米国政府から制裁を受けた後に、財務省からの罰金や法的措置を避けるために、Evil Corp はランサムウェア攻撃の身代金要求を停止するようになった。しかし Evil Corp は、この制裁を回避するために、ランサムウェア運用名を WastedLocker / Hades / Phoenix などの名前を使い始めている。
この脅威アクターは、保険会社 CNA への攻撃において、Phoenix を使用したとのことです。BleepingComputer が、問題となるサンプルを見つけたときには、別のランサムウェア組織である Babuk が、新しい名前にリブランディングしたと捉えたとのことです。しかし、Emsisoft の Fabian Wosar と、ID Ransomware の Michael Gillespie が、この新しいランサムウェアを分析したところ、Evil Corp が過去に運用していたランサムウェアのリブランディングであることが確認されました。
IoT OT Security News 