Eine berüchtigte russische Cyberkriminellen-Gruppe hat ihre Angriffsmethoden aktualisiert, um auf Sanktionen zu reagieren, die es US-Unternehmen verbieten, Lösegeld zu zahlen, so die Cybersicherheitsforscher. Die Sicherheitsfirma Mandiant sagte, dass sie glaubt, dass die Evil Corp-Bande nun ein bekanntes Erpressungssoftware-Tool namens Lockbit verwendet. Evil Corp hat sich auf Lockbit umgestellt, eine Form von Erpressungssoftware, die von zahlreichen Cyberkriminellen verwendet wird, anstatt ihre eigene bösartige Softwaremarke zu verwenden, um Beweise für die Beteiligung der Bande zu verbergen, so dass kompromittierte Organisationen eher bereit sind, ein Lösegeld zu zahlen, sagten Forscher. Das US-Finanzministerium verhängte 2019 Sanktionen gegen die mutmaßlichen Anführer der Evil Corp-Bande und schuf so rechtliche Haftungsrisiken für amerikanische Unternehmen, die wissentlich Lösegeldzahlungen an die Hacker senden. Während Cyber-Sicherheitsfirmen Evil Corp mit zwei Arten von Malware-Strängen, bekannt als Dridex und Hades, in Verbindung gebracht haben, könnte der Einsatz von LockBit durch die Gruppe gehackte Organisationen glauben machen, dass eine andere Hackergruppe, nicht Evil Corp, hinter dem Angriff steckt.
Evil Corp wird angenommen, einige der schlimmsten Bankbetrugs- und Computer-Hack-Schemata der vergangenen Dekade verübt zu haben, wobei die US-Regierung berichtet, dass sie mehr als 100 Millionen US-Dollar von Unternehmen in 40 Ländern gestohlen haben. Angebliche Mitglieder stehen auf den Fahndungslisten von Strafverfolgungsbehörden in den USA, Großbritannien und Europa, einschließlich des beschuldigten Drahtziehers Maksim Yakubets, der laut dem Finanzministerium zuvor für den russischen Föderalen Sicherheitsdienst gearbeitet hat. Der 35-jährige russische Mann soll einen Tiger besitzen und einen personalisierten Lamborghini mit einem Kennzeichen fahren, das übersetzt "Dieb" bedeutet, laut der National Crime Agency des Vereinigten Königreichs. Die USA haben zunehmend Sanktionen eingesetzt, um Cyberkriminalitätsoperationen einzudämmen, darunter die Untersagung von Zahlungen von amerikanischen Organisationen an bekannte Gruppen wie Evil Corp und Krypto-Börsen, die oft zur Weiterleitung von Lösegeldzahlungen verwendet werden. Die angebliche Abhängigkeit von kommerzieller Software durch Evil Corp legt nahe, dass Sanktionen möglicherweise nicht ausreichen, um die Gruppe davon abzuhalten, Geld von Unternehmen in den USA und auf der ganzen Welt zu erpressen, so Kimberly Goody, Direktorin für Cyberkriminalitätsanalyse bei Mandiant.
"Dies zeigt uns, dass Sanktionen effektiv sein können, um das Verhalten der Akteure zu verändern, beispielsweise um Personen zu anderen Diensten zu drängen, aber nicht immer, um Betriebsabläufe komplett einzudämmen, aufgrund der Verfügbarkeit von Cybercrime-Tools und -Diensten in Untergrundgemeinschaften", sagte sie. Ein Sprecher des Finanzministeriums sagte, dass sie sich solcher Verschleierungsversuche bewusst geworden seien und fügte hinzu, dass Regierungsbeamte regelmäßig in der Industrie darauf hinweisen, wie wichtig es sei, Angriffe zu melden, damit die Strafverfolgungsbehörden die Punkte verknüpfen und versuchen können, die Täter zu identifizieren. Erpressungssoftware-Angriffe funktionieren in der Regel durch die Infizierung eines Zielscomputers, indem eine Person dazu gebracht wird, auf einen bösartigen Link zu klicken, während sie ein Firmengerät verwendet, wodurch das Netzwerk der Organisation infiziert wird. Sobald Hacker Zugriff auf dieses Netzwerk oder kritische Dateien und Systeme haben, verschlüsseln sie die Daten, wodurch sie unzugänglich werden. Den Zielpersonen wird gesagt, dass sie ein Lösegeld, in der Regel in Kryptowährung, zahlen können, um einen Entschlüsselungsschlüssel zu erhalten und wieder Zugang zu ihren Systemen zu erlangen.
Alphabet Inc.'s Google gab im März bekannt, dass es zugestimmt hat, Mandiant für 5,4 Milliarden US-Dollar zu erwerben.
