Afin d'éviter les sanctions américaines qui empêchent ses victimes de payer ses demandes de rançon, le groupe de cybercriminels Evil Corp a publié un nouveau logiciel de type ransomware baptisé Macaw Locker. Le groupe de cybercriminels supposément basé en Russie, qui est aussi connu sous le nom d'Indrik Spider ou encore de Dridex, est impliqué dans des activités de cybercriminalité depuis 2007, mais principalement en tant qu'affilié à d'autres organisations. Au fil du temps, le groupe a commencé à se concentrer sur ses propres attaques en créant et en distribuant un cheval de Troie bancaire appelé Dridex dans les attaques de phishing.En décembre 2019, l'Office of Foreign Assets Control (OFAC) du département du Trésor américain a pris des mesures contre Evil Corp, en particulier pour faire suite à son utilisation de Dridex : « Le Trésor sanctionne Evil Corp dans le cadre d'une action radicale contre l'une des organisations cybercriminelles les plus prolifiques au monde ». L'OFAC a noté que :
« Evil Corp a utilisé le malware Dridex pour infecter des ordinateurs et récupérer les identifiants de connexion de centaines de banques et d'institutions financières dans plus de 40 pays, causant plus de 100 millions de dollars de vols. Ce logiciel malveillant a causé des millions de dollars de dommages aux institutions financières américaines et internationales et à leurs clients ».
Parallèlement à l'action de l'OFAC, le ministère de la Justice a inculpé Maksim Yakubets et Igor Turashev, deux hackers de nationalité russe accusés d'être à la tête d'Evil Corp. Déterminé à mettre les deux hackers russes derrière les barreaux, le ministère de la Justice des États-Unis a fait savoir dans un communiqué qu’il allait offrir une récompense pouvant aller jusqu’à 5 millions de dollars pour toute information menant à leur arrestation, une prime record dans le secteur de la cybercriminalité.
Evil Corp tente de contourner cette mesure pour inciter les cibles à payer
Alors que les attaques de ransomware devenaient de plus en plus rentables, Evil Corp a lancé une opération appelée BitPaymer, livrée via le malware Dridex aux réseaux d'entreprise compromis. L'activité criminelle du groupe de piratage l'a finalement conduit à être sanctionné par le gouvernement américain en 2019. En raison de ces sanctions, les sociétés de négociation de rançongiciels n'ont plus facilité le paiement de rançons pour les opérations attribuées à Evil Corp.
Pour contourner les sanctions américaines, Evil Corp a commencé à renommer ses opérations de ransomware sous différents noms tels que WastedLocker, Hades, Phoenix CryptoLocker et PayLoadBin.
DoppelPaymer, qui a récemment été rebaptisé Grief, est une autre famille de ransomwares qui serait affiliée à Evil Corp, selon les experts en cybersécurité.
Vient alors Macaw Locker
Olympus et Sinclair Broadcast Group ont vu leurs opérations gravement perturbées par des attaques de ransomware il y a quelques jours.
Suite à l'attaque des chaînes de télévision Sinclair, les services Active Directory auraient été arrêtés et l'accès aux ressources du domaine du réseau aurait été bloqué. L'attaque a également touché divers actifs de l'entreprise, notamment les systèmes de salle de rédaction, la diffusion et les serveurs de messagerie.
Cette semaine, il a été découvert que les deux attaques étaient menées par un nouveau ransomware connu sous le nom de Macaw Locker.
Lors d'une conversation avec le directeur technique d'Emsisoft, Fabian Wosar, les médias ont appris que, sur la base d'une analyse de code, Macaw Locker est la dernière nouvelle image de marque de la famille de ransomwares d'Evil Corp. Des sources au sein du secteur de la cybersécurité ont également indiqué que les deux seules victimes connues de Macaw Locker sont Sinclair et Olympus.
Ces sources ont partagé les pages privées des victimes de Macaw Locker concernant deux attaques, où les cybercriminels exigent une rançon de 450 bitcoins, soit environ 28 millions de dollars, pour redonner l'accès aux fichiers et 40 millions de dollars en bitcoin pour la seconde victime. Les sources n'ont pas précisé quelle entreprise est associée à chaque demande de rançon.
Le ransomware Macaw Locker chiffre les fichiers des victimes et ajoute l'extension .macaw au nom du fichier lors de la conduite d'attaques.
Lors du chiffrement des fichiers, le ransomware créera également des notes de rançon dans chaque dossier nommé macaw_recover.txt. Pour chaque attaque, la demande de rançon contient une page de négociation de victime unique sur le site Tor de Macaw Locker et un identifiant de déchiffrement associé, ou identifiant de campagne, comme indiqué ci-dessous.
Le site de négociation sur le dark web des cybercriminels contient une brève introduction sur ce qui est arrivé à la victime, un outil pour déchiffrer trois fichiers gratuitement et une boîte de discussion pour négocier avec les attaquants.
Cependant,...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.