Cụm mối đe dọa được đặt tên là UNC2165, có nhiều điểm trùng lặp với một nhóm tội phạm mạng có trụ sở tại Nga có tên Evil Corp, có liên quan đến nhiều vụ xâm nhập ransomware LockBit trong một nỗ lực nhằm vượt qua các lệnh trừng phạt do Bộ Tài chính Hoa Kỳ áp đặt vào tháng 12 năm 2019.
“Các tác nhân này đã chuyển từ việc sử dụng các biến thể ransomware độc quyền sang LockBit – một dịch vụ ransomware nổi tiếng (RaaS) – trong hoạt động của họ, có khả năng cản trở nỗ lực phân bổ nhằm trốn tránh các lệnh trừng phạt”, công ty tình báo mối đe dọa Mandiant lưu ý trong một phân tích tuần trước.
Hoạt động từ năm 2019, UNC2165 được biết là có quyền truy cập ban đầu vào mạng nạn nhân thông qua thông tin đăng nhập bị đánh cắp và phần mềm độc hại cho trình tải xuống dựa trên JavaScript có tên FakeUpdates (hay còn gọi là SocGholish), tận dụng nó để triển khai phần mềm tống tiền Hades trước đây.
Hades là tác phẩm của một nhóm hack có động cơ tài chính tên là Evil Corp, còn được gọi với biệt danh là Gold Drake và Indrik Spider và được cho là do trojan Dridex (hay còn gọi là Bugat) khét tiếng cũng như các chủng ransomware khác như BitPaymer, DoppelPaymer , và WastedLocker trong năm năm qua.
Sự xoay trục của UNC2165 từ Hades sang LockBit như một chiến thuật né tránh lệnh trừng phạt được cho là đã xảy ra vào đầu năm 2021.
Điều thú vị là FakeUpdates trước đây cũng từng là vector lây nhiễm ban đầu để phân phối Dridex, sau đó được sử dụng như một đường dẫn để thả BitPaymer và DoppelPaymer vào các hệ thống bị xâm nhập.
Mandiant cho biết họ đã ghi nhận những điểm tương đồng hơn nữa giữa UNC2165 và một hoạt động gián điệp mạng do Evil Corp theo dõi do công ty an ninh mạng Thụy Sĩ PRODAFT theo dõi dưới tên SilverFish nhằm vào các tổ chức chính phủ và các công ty nằm trong danh sách Fortune 500 ở EU và Mỹ.
Một thỏa hiệp ban đầu thành công được theo sau bởi một chuỗi hành động như một phần của vòng đời tấn công, bao gồm leo thang đặc quyền, trinh sát nội bộ, di chuyển bên và duy trì quyền truy cập từ xa lâu dài, trước khi phân phối tải trọng ransomware.
Với các biện pháp trừng phạt được sử dụng như một biện pháp để kiềm chế các cuộc tấn công ransomware, đến lượt nó, ngăn nạn nhân thương lượng với các tác nhân đe dọa, thêm một nhóm ransomware vào danh sách trừng phạt – mà không nêu tên các cá nhân đứng sau nó – cũng trở nên phức tạp bởi thực tế là các tổ chức tội phạm mạng thường có xu hướng đóng cửa, tập hợp lại và đổi thương hiệu dưới một tên khác để tránh việc thực thi pháp luật.
Mandiant cho biết: “Việc sử dụng ransomware hiện tại là một sự tiến hóa tự nhiên để UNC2165 cố gắng che giấu mối quan hệ của họ với Evil Corp”, đồng thời đảm bảo rằng các biện pháp trừng phạt “không phải là yếu tố hạn chế việc nhận các khoản thanh toán từ nạn nhân”.
“Việc sử dụng RaaS này sẽ cho phép UNC2165 hòa nhập với các chi nhánh khác, công ty nói thêm,” có thể hợp lý rằng các tác nhân đằng sau hoạt động của UNC2165 sẽ tiếp tục thực hiện các bước bổ sung để tách mình khỏi tên Evil Corp. “
Các phát hiện từ Mandiant, đang trong quá trình được Google mua lại, đặc biệt quan trọng vì băng đảng ransomware LockBit đã cáo buộc rằng nó đã xâm nhập vào mạng của công ty và lấy cắp dữ liệu nhạy cảm.
Ngoài việc đe dọa sẽ tiết lộ “tất cả dữ liệu có sẵn” trên cổng thông tin rò rỉ dữ liệu của mình, nhóm đã không chỉ rõ bản chất chính xác của nội dung trong các tệp đó. Tuy nhiên, Mandiant cho biết không có bằng chứng nào chứng minh cho tuyên bố này.
“Mandiant đã xem xét dữ liệu được tiết lộ trong bản phát hành LockBit đầu tiên”, công ty nói với The Hacker News. “Dựa trên dữ liệu đã được công bố, không có dấu hiệu nào cho thấy dữ liệu của Mandiant đã được tiết lộ nhưng có vẻ như nam diễn viên đang cố gắng bác bỏ nghiên cứu ngày 2 tháng 6 năm 2022 của Mandiant về UNC2165 và LockBit.”
.
