Los ciberdelincuentes rusos de ‘Evil Corp’ posiblemente se convirtieron en ciberespías.

La infame organización de ciberdelincuencia conocida como Evil Corp puede estar ejecutando operaciones de ciberespionaje en nombre de una agencia de inteligencia rusa, informa la consultora de seguridad Truesec.

Activo desde al menos 2009 y también conocido como TA505, el grupo de piratería es conocido por el uso del troyano bancario Dridex , pero también por familias de ransomware como Locky , Bart , Jaff y BitPaymer , junto con los más recientes WastedLocker y Hades. .

Evil Corp supuestamente está dirigida por ciudadanos rusos Maksim Yakubets e Igor Turashev, quienes fueron acusados ​​por Estados Unidos en 2019 . Además de implementar malware financiero y causar decenas de millones en pérdidas, Yakubets ha estado trabajando para la inteligencia rusa desde al menos 2017, según la acusación.

La nueva evidencia que los investigadores de seguridad de Truesec han descubierto valida la suposición de una relación cercana entre el grupo del ciberdelito y el Kremlin , e incluso sugiere que Evil Corp podría haberse convertido en un grupo de ciberespionaje que está utilizando ataques de ransomware para disfrazar sus verdaderas intenciones.

El análisis de un incidente de ransomware que involucró a Evil Corp ha revelado el uso de herramientas, técnicas y procedimientos (TTPS) previamente asociados con el sofisticado grupo de ciberespionaje SilverFish , que recientemente se asoció con el ataque SolarWinds .

El ataque, revela Truesec, comenzó con una descarga automática que llevó a la instalación de una puerta trasera que brinda a los atacantes un control completo de la máquina víctima, y ​​resultó en que el implante Cobalt Strike se implementara como una segunda etapa solo minutos después.

El descubrimiento de la red comenzó minutos después y el adversario “logró un compromiso total de la infraestructura en cuatro horas desde la violación inicial”. Las vulnerabilidades comunes fueron explotadas como parte del ataque, con operaciones manuales iniciadas minutos después del compromiso inicial, lo cual es “notable, considerando que el vector de ataque fue un ataque drive-by”, señala Truesec.

Aunque el adversario pudo aprovechar el acceso a Active Directory en cuestión de horas, el reconocimiento interno y el descubrimiento de datos solo comenzaron una semana después. Durante esta fase, el actor de amenazas desinstaló el software de seguridad, y el ransomware Wasted Locker se implementó solo un mes después del compromiso inicial.

“Durante las últimas dos semanas, el actor de amenazas centró el reconocimiento en recopilar metódicamente datos de recursos compartidos de red, perfiles de usuario, historial del navegador de administradores de TI, buzones de correo basados ​​en la nube y, finalmente, identificó las credenciales y ubicaciones de las copias de seguridad basadas en la nube en uso que luego fueron eliminados ”, señala Truesec.

El actor detrás del ataque usó la misma baliza Cobalt Strike que la firma de inteligencia de amenazas PRODAFT asoció con las operaciones del grupo SilverFish, lo que sugiere que el mismo adversario podría haber estado involucrado en ambos, a pesar del uso de diferentes vectores de ataque: descarga automática frente a SolarWinds. incumplimiento.

De hecho, los investigadores de Truesec creen que los estrechos vínculos de Evil Corp con la inteligencia rusa podrían haber dado lugar a que el ya sofisticado actor de amenazas evolucionara de una organización de ciberdelincuencia motivada financieramente a un grupo de ciberespionaje. A pesar de seguir implementando ransomware en los ataques, el grupo ya no parece atraído por las ganancias financieras y, a diferencia de otros operadores de ransomware, hace poco para obligar a las víctimas a pagar el rescate.

“Es posible que todas las campañas de ransomware Wasted Locker / Hades se hayan ejecutado simplemente como una ‘maskirovka’, la palabra rusa para engaño, para ocultar una campaña de ciberespionaje. La razón por la que parecen descuidarse a la hora de obtener el rescate podría ser simplemente que no es importante para ellos. Solo necesitan mantener la apariencia ”, señala Truesec.

¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *