Mandiant 研究人员将多个 LockBit 勒索软件攻击与臭名昭著的 Evil Corp 网络犯罪集团联系起来。
Mandiant 研究人员调查了多起 LOCKBIT 勒索软件攻击,这些攻击归因于出于经济动机的威胁参与者 UNC2165。研究人员还注意到,该组织与网络犯罪团伙Evil Corp有许多重叠之处。
UNC2165 组织至少自 2019 年以来一直活跃,主要观察到使用 FAKEUPDATES 感染链(又名 UNC1543)访问受害者的网络。专家们注意到,FAKEUPDATES 也被用作 DRIDEX 感染的初始感染媒介,用于在攻击的最后阶段部署BITPAYMER或DOPPELPAYMER。
此前,UNC2165 攻击者也部署了HADES 勒索软件。
基于 UNC2165 和 Evil Corp 之间的重叠,我们高度自信地评估,这些行为者已经从使用独家勒索软件变种转向 LOCKBIT——一种众所周知的勒索软件即服务 (RaaS)——在他们的操作中,可能会阻碍归因为了逃避制裁而做出的努力。” 阅读Mandiant 发表的分析。
Evil Corp 可能已经开始使用 LockBit 勒索软件,以逃避美国财政部于 2019 年 12 月实施的制裁。
研究人员还注意到 UNC2165 与安全公司 ProDaft 跟踪为“SilverFish”的一组活动重叠。ProDaft 报告中报告的数据证实,分析的恶意软件管理面板用于管理 FAKEUPDATES 感染和分发辅助有效负载,包括 BEACON。Mandiant 根据 ProDaft 发现的恶意软件有效负载和其他技术工件将此活动归因于 UNC2165。
Mandiant 发布的分析提供了与威胁参与者相关的攻击生命周期的每个阶段的详细信息。一旦获得对目标网络的初始访问权限,攻击者就会进行权限提升、内部侦察、横向移动和保持持久性等一系列行动,旨在部署最终的勒索软件。
“采用现有的勒索软件是 UNC2165 试图掩盖其与 Evil Corp 的关系的自然演变。LOCKBIT 近年来的突出地位及其被多个不同威胁集群的成功使用都可能使勒索软件成为一个有吸引力的选择。使用此 RaaS 将允许 UNC2165 与其他关联公司融合,需要对攻击生命周期的早期阶段进行可见性,以正确归因于活动,而之前的操作可能是基于使用专有勒索软件而造成的。” 报告结束。“UNC2165 行动背后的参与者将继续采取额外措施与 Evil Corp 的名称保持距离,这似乎是合理的。“
该报告还包括MITRE ATT&CK 映射、针对 LockBit 勒索软件的YARA 规则