网络犯罪集团为了躲避制裁而使用LockBit勒索软件

研究人员发现，由于美国的制裁，使得该网络犯罪集团难以从其攻击活动中获得经济利益后，该犯罪集团再次改变了攻击策略，这次转向使用了LockBit勒索软件。

Mandiant Intelligence的研究人员一直在追踪一个有经济犯罪动机的网络威胁团伙，他们被称之为UNC2165，它与Evil Corp有许多相似之处，这很可能是该集团最新的身份。

研究人员在周四发表的一份报告中写道，UNC2165正在使用FakeUpdates感染链来获得对目标网络的访问权限，然后使用LockBit勒索软件来获得赎金。他们写道，这项攻击活动似乎是Evil Corp攻击者的另一种新的攻击方式。

研究人员写道，许多调查报告都报道了相关攻击活动的最新进展，包括开发新的勒索软件并且减少对Dridex的依赖程度，尽管这些方式能够很好地隐藏攻击者的身份，但UNC2165与Evil Corp的攻击行动还是有很明显的相似之处。

美国财政部外国资产管制处（OFAC）于2019年12月制裁了Evil Corp，对这个作案多起的网络犯罪集团进行了广泛的打击，该集团由于传播上述用以窃取信息的Dridex恶意软件和他们自己的WastedLocker勒索软件而闻名。

该制裁措施基本上禁止了任何美国实体与该集团进行贸易往来以及建立任何联系，该措施能够有效地防止美国金融公司为该集团的赎金支付提供便利，也能够限制其在犯罪活动中的获利。

隐藏的网络犯罪分子

在大量的制裁以及随后对其领导人的起诉后，Evil Corp暂时停顿了一下，但此后通过巧妙的塑造新的品牌来继续其恶意的攻击行为。

事实上，它最近的身份转变并不是该组织第一次使用不同的身份来试图规避对它的制裁。据报道，大约一年前，Evil Corp曾经试图通过使用一款名为PayloadBin的勒索软件来掩盖自己的身份，研究人员发现这可能是该集团WastedLocker勒索软件的最新版。

在此之前，该组织在外国资产管制处制裁后不久后又短暂出现，并采取了新的攻击策略来尝试掩盖其身份。他们使用HTML重定向器或者使用meta刷新标签将用户重定向到另一个网站等攻击手段，然后使用恶意的Excel文件来投放有效载荷。

最新的攻击身份

据Mandiant称，Evil Corp的最新攻击活动几乎完全是在一个名为UNC1543的组织的支持下进入到了受害者的网络中的，因为在攻击中使用的FakeUpdates工具与该组织有密切关联。在政府起诉Evil Corp之前的几个月里，这种方法一直被用作Dridex和BitPaymer以及DoppelPaymer勒索软件的初始感染载体。

研究人员说，Evil Corp最近还在部署其他勒索软件，特别是Hades。他们说，Hades的代码和功能与其他勒索软件有很多相似之处，研究发现该工具与Evil Corp相关的威胁攻击者有密切关系。

研究人员说，使用其他的勒索软件的确可以使Evil Corp保持很好的隐秘性。

然而，他们说，LockBit比Hades更为自然，因为它使用的RaaS模式是近几年才出现的模式。事实上，LockBit在去年已经攻下了一些大名鼎鼎的目标，如埃森哲和曼谷航空。

研究人员写道，使用这个RaaS模式可以使UNC2165与其他网络攻击集团更难区分开。此外，频繁地更新代码以及重塑品牌需要大量的开发资源投入，UNC2165认为使用LOCKBIT是一个更具成本效益的选择，这是值得的。

这一举措很有意义

一位安全专家指出，由于勒索软件运营商会像其他企业领导人一样看待他们的业务，因此，他们也必须与时俱进，在市场地位上保持领先，并像其他集团一样获得利润，这是很合理的。

安全研究员James McQuiggan在给媒体的一封电子邮件中说，对于网络犯罪分子来说，他们需要不断开发他们的应用程序和加密功能，避免被系统发现，并通过使用各种方法敲诈钱财。 

他说，鉴于这种观点，Evil Corp会利用其他勒索软件来继续保持其在市场上的地位，更重要的是，这样做可以获得报酬。由于Evil Corp会将自己隐藏于其他勒索软件团体的活动中，目标也很可能会支付高昂的勒索费用，他们也不用担心政府会对真正的犯罪者进行法律制裁。

参考及来源：

https://threatpost.com/evil-corp-pivots-to-lockbit-to-dodge-u-s-sanctions/179858/