Вымогатели из Evil Corp выдают себя за группировку PayloadBin для избежания санкций США

Операторы нового вымогательского ПО PayloadBIN, связанного с киберпреступной группировкой Evil Corp, пытаются избежать санкций, введенных Управлением по контролю за иностранными активами Министерства финансов США (OFAC).

Участники Evil Corp (также известной как Indrik Spider и Dridex) начинали свою деятельность в качестве партнера операторов ботнета ZeuS. Со временем Evil Corp сформировала собственную группировку, которая сосредоточилась на распространении банковского трояна под названием Dridex через фишинговые электронные письма. Когда группировки начали переходить к высокодоходным атакам программ-вымогателей, Evil Corp использовала вымогатель BitPaymer, распространяемый с помощью вредоноса Dridex на скомпрометированные корпоративные сети. После санкций со стороны правительства США в 2019 году фирмы, занимающиеся переговорами с операторами вымогателей, отказались платить выкупы за атаки Evil Corp во избежание штрафов или судебных исков со стороны Министерства финансов США. Evil Corp начала переименовывать свои кампании с использованием программ-вымогателей на WastedLocker , Hades и Phoenix с целью обойти эти санкции.

Напомним, в конце апреля нынешнего года операторы Babuk объявили о прекращении своей деятельности. Однако уже через две недели хакеры снова дали о себе знать, представив новый проект Payload Bin. Хотя хакеры больше не собираются сами похищать данные и требовать за них выкуп, они предоставят такую возможность другим киберпреступникам, у которых нет собственного названия и сайта утечек.

Специалисты издания BleepingComputer обнаружили на сервисе VirusTotal новый образец вымогательского ПО под названием PayloadBIN и изначально предположили, что вредонос был связан с ребрендингом Babuk Locker. После установки программа-вымогатель добавляет расширение .PAYLOADBIN к зашифрованным файлам. Кроме того, записка с требованием выкупа называется PAYLOADBIN-README.txt и сообщает жертве, что «сети ЗАБЛОКИРОВАНЫ с помощью программы-вымогателя PAYLOADBIN».

Предполагалось, что Babuk солгала о своих намерениях отказаться от программ-вымогателей. Однако после анализа нового вымогателя специалисты Фабиан Восар (Fabian Wosar) из Emsisoft и Майкл Гиллеспи (Michael Gillespie) из ID Ransomware подтвердили , что программа на самом деле принадлежит Evil Corp. Как предположил Восар, хакеры увидели и воспользовались возможностью выдать себя за другую группировку, которая не подверглась санкциям.