Kelompok Evil Corp Beralih ke LockBit Ransomware untuk Menghindari Sanksi

Mark Teknologi
Mark Teknologi
November 30, 2023


Kelompok ancaman UNC2165, yang memiliki banyak kesamaan dengan kelompok kejahatan dunia maya Evil Corp yang berbasis di Rusia, telah dikaitkan dengan banyak serangan ransomware LockBit dalam upaya untuk menghindari sanksi yang dijatuhkan oleh U.S. Treasury pada Desember 2019.


"Aktor-aktor ini telah berubah dari menggunakan varian ransomware eksklusif ke LockBit — yang terkenal ransomware as a service (RaaS) — dalam operasi mereka, mungkin untuk menghalangi upaya atribusi untuk menghindari sanksi," perusahaan intelijen ancaman Mandiant mencatat dalam sebuah analisis minggu lalu.


UNC2165, yang telah aktif sejak 2019, diketahui mendapatkan akses awal ke jaringan korban melalui kredensial yang dicuri dan malware pengunduh berbasis JavaScript yang disebut FakeUpdates (alias SocGholish), yang kemudian digunakan untuk menginstal ransomware Hades sebelumnya.



Hades adalah produk kelompok peretasan bermotivasi finansial bernama Evil Corp, yang juga dikenal sebagai Gold Drake dan Indrik Spider dan telah dikaitkan dengan trojan Dridex (alias Bugat) yang ikonik serta jenis ransomware lainnya seperti BitPaymer, DoppelPaymer, dan WastedLocker selama lima tahun terakhir.


Peralihan dari Hades ke LockBit sebagai strategi penghindaran sanksi dikatakan telah terjadi pada awal tahun 2021.


Menariknya, FakeUpdates sebelumnya berfungsi sebagai vektor infeksi pertama untuk mendistribusikan Dridex, yang kemudian digunakan sebagai saluran untuk membuang BitPaymer dan DoppelPaymer ke sistem yang disusupi.


Mandiant menemukan lebih banyak persamaan antara UNC2165 dan aktivitas spionase siber yang terhubung dengan Evil Corp yang diarahkan pada lembaga pemerintah dan bisnis Fortune 500 di UE dan AS yang dilacak oleh perusahaan keamanan siber Swiss PRODAFT dengan nama SilverFish.


Sebelum mengirimkan muatan ransomware, serangan pertama yang berhasil diikuti oleh serangkaian langkah sebagai bagian dari siklus hidup serangan, termasuk privilege escalation, internal reconnaissance, pergerakan lateral, dan mempertahankan remote access jangka panjang.


Menambahkan kelompok ransomware ke daftar sanksi — tanpa mengekspos nama individu di belakangnya — juga terhambat oleh fakta bahwa sindikat kejahatan dunia maya terkadang ditutup, dibangun kembali, dan diganti namanya dengan nama yang berbeda untuk menghindari penegakan hukum.


"Penggunaan ransomware saat ini adalah langkah alami bagi UNC2165 untuk mencoba menyamarkan hubungan mereka dengan Evil Corp," kata Mandiant, sambil juga memastikan bahwa sanksi "bukanlah faktor pembatas dalam mendapatkan pembayaran dari korban."


"Menggunakan RaaS ini akan memungkinkan UNC2165 untuk berbaur dengan afiliasi lain," klaim perusahaan itu, menambahkan bahwa "ada kemungkinan bahwa orang-orang di balik operasi UNC2165 akan terus menghapus diri mereka dari identitas Evil Corp."


Temuan Mandiant, yang sedang diakuisisi oleh Google, sangat relevan karena kelompok ransomware LockBit kemudian menyatakan bahwa mereka meretas jaringan perusahaan dan mengambil data penting.


Selain mengancam untuk mengungkapkan "semua data yang tersedia" di portal kebocoran datanya, kelompok tersebut tidak merinci sifat isi file tersebut. Namun, Mandiant menyatakan tidak ada bukti yang mendukung pernyataan tersebut.


Perusahaan mengatakan, "Mandiant telah menganalisis data yang dirilis dalam rilis LockBit pertama." "Tidak ada tanda-tanda bahwa data Mandiant telah terungkap berdasarkan data yang telah disediakan, tetapi aktor tersebut tampaknya berusaha untuk menyangkal penelitian Mandiant pada 2 Juni 2022 tentang UNC2165 dan LockBit."