O WastedLocker Ransomware Tem como Alvo a US Newspaper Company
Segundo a Symantec, os cibercriminosos por trás do WastedLocke Ransomware começaram a ter como alvo dezenas de jornais operados por uma empresa americana de mídia.
Os atacantes enviam e-mails de phishing com mensagens fraudulentas sobre atualizações de software, destinadas a funcionários dos jornais. Os e-mails contêm a atualização falsa SocGholish, que fornece cargas maliciosas. A Symantec não mencionou os jornais ou a empresa controladora no relatório.
Os atacantes estavam atrás dos dispositivos dos funcionários, procurando infectá-los, para que eles pudessem comprometer as redes corporativas e instalar o ransomware WastedLocker, compartilha o relatório. A Symantec alertou a empresa de mídia sobre o que estava acontecendo, e o código malicioso foi removido antes que o ataque ganhasse velocidade.
A Symantec e outras empresas de segurança vincularam o ransomware WastedLocker a um grupo de criminosos cibernéticos chamado Evil Corp, que está em operação desde 2011, com suspeitas de ligações russas. O WastedLocker parece ter como alvo grandes empresas e exigir resgates de até um milhão de dólares, de acordo com um relatório recente da Fox-IT do NCC Group.
Qual é o Objetivo da Campanha?
Segundo o relatório da Symantec, os ataques contra os sites de jornais faziam parte de uma campanha mais extensa que os hackers da Evil Corp estavam organizando, tendo como alvo mais de 30 organizações nos Estados Unidos. Os alvos incluem 11 empresas de capital aberto, das quais oito fazem parte da Fortune 500. A Evil Corp atacou as empresas usando e-mails de phishing que ocultavam o SocGholish como uma atualização de software em um arquivo ZIP.
Quando os invasores acessam a rede da vítima, eles usam o malware Cobalt Strike e ferrmentas que já existem no ambiente visado para aumentar privilégios, roubar credenciais e muito mais na rede, para que eles possam implantar o WastedLocker Ransomware em vários computadores, de acordo com o relatório. Depois que o malware é implantado, ele criptografa os dados e exclui as Cópias dShadow Volume. Ainda não está claro se as vítimas decidiram pagar o resgate, de acordo com a Fox-IT e a Symantec.
A Evil Corp está Ativa Desde 2011
Desde sua primeira detecção em 2011, a Evil Corp vem perseguindo bancos, varejistas, instituições financeiras e muito mais nos Estados Unidos e em outros países. Segundo os pesquisadores de segurança, a Evil Corp esteve envolvida em mais de uma campanha de spam e phishing em larga escala usada para espalhar malware tal como o Dridex, o Locky, o Jaff outros. Em dezembro de 2019, dois membros do grupo, incluindo o seu suposto líder, Maksim Yakubets, foram processados pelo Departamento de Justiça dos EUA por várias acusações.