Российская киберпреступная организация EvilCorp, известная своими изощренными программами-вымогателями, с 2019 года находится под санкциями США из-за масштабных финансовых киберпреступлений. Группу возглавляет Максим Якубец, и она прошла путь от создания банковского трояна Dridex до внедрения различных семейств программ-вымогателей, таких как BitPaymer, WastedLocker, Hades, PhoenixLocker и MacawLocker.
Новые связи и старые угрозы
Национальное агентство по борьбе с преступностью (NCA) установило, что Александр Рыженков является высокопоставленным сотрудником EvilCorp, который также стал аффилированным лицом LockBit и внес значительный вклад в ее деятельность по борьбе с программами-вымогателями, пытаясь вымогать у жертв более 100 миллионов долларов.
Появление RansomHub
В феврале 2024 года была запущена платформа RansomHub, представляющая собой «программы-вымогатели как услуга» (RaaS), которая возникла на основе остатков предыдущих сетей RaaS, таких как Cyclops и Knight. Эта программа, отличающаяся большим количеством аффилированных лиц, быстро стала одним из самых распространенных семейств программ-вымогателей благодаря своей привлекательности для бывших аффилированных лиц закрытых групп, таких как ALPHV/BlackCat и LockBit.
Методы и тактики
В работе RansomHub используются различные тактики, методы и процедуры (TTP), поскольку аффилированные лица могут использовать свои собственные инструменты для утечки данных и развертывания программ-вымогателей. Были выявлены точки соприкосновения между EvilCorp и RansomHub, в частности, благодаря использованию общих средств первоначального доступа, таких как вредоносное ПО SocGholish, которое маскируется под обновления веб-браузера.
Эта вредоносная программа отслеживается различными организациями под разными названиями, включая Mustard Tempest от Microsoft и Water Scylla от Trend Micro. Было задокументировано, что после заражения программа-вымогатель RansomHub часто внедрялась операторами, которые изначально использовали уязвимости в SocGholish, что делает очевидной взаимосвязь между двумя объектами угрозы.
Будущее киберугроз
Отчеты киберразведки все чаще указывают на то, что тактика EvilCorp остается инновационной, включая внедрение бэкдоров, таких как VIPERTUNNEL на базе Python, который также был связан с инфраструктурой RansomHub. Более того, оперативная синергия между этими двумя группами вызывает потенциальную обеспокоенность по поводу будущих санкций против RansomHub, аналогичных тем, которые уже были наложены на EvilCorp.
Такая взаимосвязь усложняет ситуацию для жертв, рассматривающих возможность выплаты выкупа, поскольку это может привести к нарушению существующих санкций и юридическим последствиям. По мере развития ситуации с угрозами, ожидается, что RansomHub может провести ребрендинг, чтобы снизить риск санкций.
Такое поведение отражает более широкую тенденцию среди групп программ-вымогателей адаптироваться к сообщениям разведки, что обеспечивает их дальнейшую работоспособность в условиях усиления контроля со стороны правоохранительных органов. Аналитики отмечают, что объединение EvilCorp с RansomHub может послужить стратегическим шагом по увеличению операционных расходов этих киберпреступных сетей, что потенциально повысит эффективность принимаемых против них контрмер.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Связь EvilCorp и RansomHub: новые угрозы кибербезопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.