Новый вредонос использовался злоумышленниками в ходе атак на американские компании.
Одна из самых известных киберпреступных группировок в истории Evil Corp (также известная как Dridex) возобновила свою деятельность после того, как власти США и Великобритании обнародовали обвинения против нескольких ее участников в декабре 2019 года. Как сообщили специалисты из подразделения Fox-IT компании NCC Group, преступники организовали несколько вредоносных кампаний в январе 2020 года с использованием привычных для них вредоносов и вновь затаились в марте. Вскоре группировка возобновила свою преступную деятельность, вооружившись новым вредоносным инструментом WastedLocker, который заменил устаревший вариант вымогателя BitPaymer.
Настоящие причины замены BitPaymer остаются неизвестными, но по словам экспертов, замена является совершенно новым видом вымогательского ПО, разработанного с нуля. Новый вымогатель, получивший название WastedLocker, имеет некоторое сходство в коде с BitPaymer. Как отметили исследователи, новое семейство вымогателей используется злоумышленниками с мая 2020 года, и его жертвами оказались в основном американские компании, а также несколько предприятий в западной Европе.
По словам специалистов, преступники атакуют файловые серверы, службы баз данных, виртуальные машины и облачные среды. Evil Corp также попытается нарушить работу приложений резервного копирования и связанной с ними инфраструктуры, пытаясь увеличить время, необходимое компаниям для восстановления систем.
В ходе анализа образцов вредоноса с VirusTotal исследователи выяснили, что WastedLocker использовался во вредоносных кампаниях уже как минимум пять раз.
Как отметили эксперты, группировка, похоже, не занимается хищением конфиденциальной информации и не угрожает опубликовать данные жертв, как это делают другие операторы вымогателей. Предположительно, причиной данного поведения является нежелание злоумышленников привлекать внимание со стороны правоохранительных органов и общественности.