El nuevo ransomware WastedLocker exige pagos de millones de dólares


ciber malware

Evil Corp, una de las mayores operaciones de malware en Internet, ha vuelto lentamente a la vida después de que varios de sus miembros fueron acusados ​​por el Departamento de Justicia de los Estados Unidos en diciembre de 2019.

En un informe compartido con ZDNet hoy, Fox-IT, una división dentro del Grupo NCC, ha detallado las últimas actividades del grupo luego de los cargos del Departamento de Justicia.

Historia corta de Evil Corp

El grupo Evil Corp, también conocido como la pandilla Dridex, ha estado activo desde 2007 cuando varios miembros previamente involucrados con el troyano bancario ZeuS decidieron probar suerte para distribuir malware.

Los esfuerzos iniciales se centraron en distribuir el troyano bancario Cridex, una variedad de malware que más tarde se convirtió en el troyano bancario Dridex, y más tarde se convirtió en el package de herramientas de malware multipropósito Dridex.

A través de los años, Evil Corp, a través de su operación Dridex, se convirtió en una de las redes de bots de malware y spam más grandes de Online. El grupo distribuyó su propio malware, pero también malware para otros grupos criminales, junto con mensajes personalizados de spam.

El grupo sumergió los dedos de los pies en la distribución de ransomware al difundir el ransomware Locky a los consumidores domésticos a lo largo de 2016.

A medida que el mercado de ransomware comenzó a cambiar la orientación de los consumidores domésticos a los objetivos empresariales, la pandilla Evil Corp también se adaptó, y después de dejar caer la cepa Locky para siempre, crearon un nuevo ransomware personalizado llamado BitPaymer.

El grupo utilizó su vasta purple de bots de computadoras infectadas con el malware Dridex para buscar redes corporativas y luego desplegar BitPaymer en los objetivos empresariales más grandes que pudieron identificar.

El grupo operó BitPaymer entre 2017 y 2019 cuando comenzaron a desaparecer nuevas infecciones. Las razones no están claras, pero la desaceleración de las infecciones de BitPaymer también puede haber tenido algo que ver con la botnet Dridex que ralentizó su actividad entre 2017 y 2019.

Consecuencias de los cargos del Departamento de Justicia

Fox-IT dice que esta desaceleración culminó con los cargos del Departamento de Justicia presentados en diciembre de 2019. Después de las acusaciones de alto perfil, el grupo guardó silencio durante un mes completo hasta enero de 2020.

Según Fox-IT, el grupo volvió a la vida en enero y lanzó algunas campañas de malware, generalmente para otros delincuentes, hasta marzo, cuando volvieron a callarse.

Sin embargo, cuando el grupo volvió a la vida por segunda vez en 2020, lo hicieron con nuevas herramientas. Fox-IT dice que el grupo creó una nueva variedad de ransomware para reemplazar la variante antigua de BitPaymer que han estado utilizando desde principios de 2017.

Las razones reales para reemplazar BitPaymer están envueltas en misterio Sin embargo, Fox-IT dice que este reemplazo parece ser una cepa de ransomware totalmente nueva, escrita desde cero.

Evil Corp comienza a implementar WastedLocker

Fox-IT dice que nombró a este nuevo ransomware WastedLocker en función de la extensión de archivo que agrega a los archivos cifrados, que generalmente consisten en el nombre de la víctima y la cadena «desperdiciada».

Los investigadores de seguridad dicen que un análisis de este nuevo ransomware ha revelado poca reutilización de código o similitudes de código entre BitPaymer y WastedLocker sin embargo, algunas similitudes aún permanecen en el texto de la nota de rescate.

En una entrevista con ZDNet Más temprano hoy, Fox-IT dice que han estado rastreando el uso de esta nueva familia de ransomware desde mayo de 2020. Dicen que el ransomware se ha implementado exclusivamente contra compañías estadounidenses.

«Las demandas de rescate solicitadas por Evil Corp ahora son generalmente de millones», dijo Maarten van Dantzig, investigador de seguridad de Fox-IT. ZDNet hoy.

«Hemos visto demandas de más de $ 10 millones», agregó.

Fox-IT dijo que no pudo confirmar si alguna de las víctimas de WastedLocker pagó las demandas de rescate.

No obstante, dicen que los operadores de Evil Corp son extremadamente agresivos cuando implementan el nuevo ransomware WastedLocker.

«Por lo basic, llegan a servidores de archivos, servicios de bases de datos, máquinas virtuales y entornos en la nube», dijeron los investigadores.

Además, el equipo de Fox-IT dice que Evil Corp también intentará interrumpir las aplicaciones de respaldo y la infraestructura relacionada en un intento de aumentar el tiempo necesario para que las empresas se recuperen. En caso de que las empresas no tengan copias de seguridad fuera de línea, la eliminación de copias de seguridad casi seguramente empuja a las víctimas a pagar el rescate, si pueden pagar los nuevos «precios de descifrado» multimillonarios de Evil Corp.

«Según las muestras enviadas a VirusTotal, estimaríamos que WastedLocker ya se usaba como carga útil de ransomware en un puñado de casos, alrededor de 5, probablemente más», dijo Michael Sandee, investigador de seguridad de Fox-IT. ZDNet.

Sin robo de datos o sitio de fuga

Aún así, Fox-IT dice que Evil Corp no ha hecho una cosa que sea muy well-liked entre otras pandillas de ransomware en este momento.

A pesar de pasar todo ese tiempo desarrollando una nueva variedad de ransomware, WastedLocker no incluye ninguna función de robo de datos.

Hoy en día, casi 10 a 15 pandillas de ransomware infectarán la red de una compañía, robarán datos de propiedad y luego amenazarán con publicar los archivos en línea, en los llamados sitios de filtración o portales de intercambio de archivos.

Evil Corp no hace nada por el estilo, dijo Fox-IT. Esto no significa que el grupo no pueda hacerlo, sino que eligieron no hacerlo. Los expertos de Fox-IT dicen que la filtración de datos robados generalmente atrae mucha atención de los medios, algo que los piratas informáticos probablemente están tratando de evitar, ya que algunos de sus miembros ya están en la lista de Cyber ​​Most Required del FBI y no quieren que las autoridades estadounidenses prioricen sus arrestos.



Enlace a la noticia first