据Bleeping Computer黑客组织网站披露Evil Corp为了摆脱美国的制裁,它最近被推出Macaw Locker新型勒索软件。
黑客组织Evil Corp,业界又称其Indrik Spider 和 Dridex 团伙自2007年以来一直参与网络犯罪活动,但一直隶属于其他黑客组织。随着时间的推移,该组织开始在网络钓鱼攻击中创建和分发一种名称Dridex独立实施网络攻击的银行木马。
黑客组织Evil Corp 起源于2007年
随着勒索软件攻击越来越有利可图,Evil Corp发起了一个叫 的项目BitPaymer 操作,通过 操作Dridex 恶意软件传送到受感染的公司网络,之后进行勒索行为,这样的犯罪活动最终导致他们在2019年受到美国政府的制裁。
绕过美国的制裁,Evil Corp开始以 WastedLocker、Hades、Phenoix Locker 和 PayloadBin 等名称创建有限使用的勒索软件操作。
但业界普遍认为DoppelPaymer也是该组织勒索软件家族的成员,但没有直接证据表明这一说法。
Macaw Locker两次攻击
10月,奥林巴斯和辛克莱广播集团的运营受到周末勒索软件攻击的严重干扰。研究人员发现,这两次攻击都被称为 Macaw Locker 由新的勒索软件发起。在一次勒索事件中,攻击者要求450比特币(2800万美元赎金),另一次攻击要求4000 1万美元赎金。目前还不清楚每个赎金要求与哪家公司有关。
Emsisoft首席技术官 Fabian Wosar 根据研究人员对代码的分析,Macaw Locker 是 Evil Corp 最新品牌的勒索软件系列。
Macaw Locker勒索软件攻击时,会加密受害者的文件,并在文件名称后添加 .macaw扩展名称。在加密文件时,勒索软件还将在每个文件夹中创建名称macaw_recover.txt赎金笔记。每次攻击,赎金笔记包括Macaw Locker的Tor网站上独特的受害者谈判页面和相关解密ID,或活动ID,,如下所示。
Macaw Locker 赎金记录
该团伙的暗网谈判网站包括对受害者遭遇的简要介绍,免费解密三份文件的工具,以及与攻击者谈判的聊天框。
Macaw Locker Tor 付款谈判网站
现在已经确定了Macaw Locker是Evil Corp后续我们很可能会看到攻击者重新命名他们的勒索软件。
在 Evil Corp 在停止勒索软件攻击或取消制裁之前,持续的猫捉老鼠游戏可能永远不会结束。然而,这两种情况都不太可能在不久的将来发生。