Il governo degli Stati Uniti aveva emesso sanzioni contro il gruppo Evil Corp, impedendo alle vittime di pagare il riscatto alla banda. Tuttavia, ora si crede che il gruppo si identifichi come REvil per evitare il susseguirsi delle sanzioni.
Cos’è successo?
Un analista di malware che lavora con Emsisoft ha scoperto per la prima volta questo trucco di impersonificazione e ha rivelato gli attacchi in corso su Twitter.
- Il marchio REvil è stato pubblicizzato in più fasi dell’attacco rivendicato da Evil Corp, in cui i file crittografati sono stati rinominati con l’estensione .revil e la nota del ransomware è stata denominata revil[.]readme[.]txt.
- Inoltre, il sito del riscatto aveva un logo ninja con la scritta REvil e la nota menzionava REvil più volte.
Risalire a Evil Corp
Il nome Evil Corp è ispirato a una multinazionale immaginaria del programma televisivo basato sul crimine informatico Mr. Robot. Questa famosa e famigerata impresa di criminalità informatica avrebbe sede a Mosca, in Russia. Il gruppo è noto per l’utilizzo di software dannosi per rubare denaro dai conti bancari delle vittime. Attivo dal 2009, ha preso di mira un grande insieme di conti bancari in tutto il mondo, rubando centinaia di milioni di dollari. Si ritiene che sia uno dei gruppi di hacker più grandi e pericolosi del mondo. Gli operatori utilizzano il malware Zeus e il Trojan bancario Dridex nelle loro campagne. Inoltre, il gruppo è stato osservato sfruttare famiglie di ransomware come Jaff, Locky, Bart, BitPaymer, PayloadBin, WastedLocker e Hades.
Anche dopo diversi tentativi di rebranding come malware diverso, i ricercatori sono stati in grado di associare facilmente il malware a Evil Corp.
- Il ricercatore ha confrontato il codice con i precedenti campioni di PayloadBin e Hades e ha scoperto che si potevano sovrapporre perfettamente.
- Inoltre, gli stessi formati di file e l’uso della criptovaluta hanno ulteriormente evidenziato la connessione tra i due.
La stessa tattica in passato
In precedenza, in passato, la Evil Corp è stata osservata utilizzando un approccio simile di mascheramento da altri gruppi.
- Ad aprile, il gruppo aveva utilizzato un trucco simile e ha affermato di essere PayloadBin (una nuova versione rinominata di Babuk).
- Prima di questa esperienza, il gruppo aveva utilizzato altri alias come Phoenix, WastedLocker e Hades.
In conclusione Evil Corp si rinnova continuamente per evitare sanzioni. Questa tattica viene ora adottata anche da altri gruppi di ransomware per evitare che l’acuirsi di azioni legali e giudiziarie nei loro confronti, possa concretizzarsi. Pertanto, le aziende e i loro team di sicurezza dovrebbero essere dotati degli strumenti giusti per scongiurare le minacce ransomware, effettuando sopratutto quella che viene chiamata OSINT, insieme di tecniche per un intelligence capace di essere al passo con i tempi. Un buon esempio di utilizzo di questa pratica è ben esposto dall’ultimo aggiornamento di Marco Govoni, dedicato proprio allo smascheramento di Lalartu del gruppo REvil.