PayloadBIN Ransomware
PayloadBIN Ransomware är ett nytt hot som används mot datoranvändare. Som en del av ransomware-klassen av hot initierar PayloadBIN en krypteringsrutin på komprometterade system för att låsa filerna som lagras där. Hotaktörerna skulle sedan pressa ut sina offer för pengar i utbyte mot att tillhandahålla en krypteringsnyckel och programvara som potentiellt kan återställa data. Krypterade filer markeras med att '.PAYLOADBIN' läggs till sina ursprungliga namn som ett nytt tillägg. Lösenpriset för hotet levereras sedan som en textfil med namnet 'PAYLOADBIN-README.txt.' Instruktionerna från cyberbrottslingar är extremt korta genom att helt enkelt berätta för sina offer att etablera kommunikation genom att skriva ett meddelande till de två angivna e-postadresserna.
PayloadBIN Ransomware Attribution
Funktionellt visar PayloadBIN Ransomware inga distinkta förbättringar eller modifieringar jämfört med andra aktuella hot av denna typ. Att bestämma vem hackarna som är ansvariga för att frigöra hotet är helt annorlunda. När allt kommer omkring, enbart att döma efter namnet skulle man anta att hotet tillhör gruppen "nyttolast". Denna grupp är emellertid en ny varumärke för Babuk- gänget efter att den tillkännagav sina avsikter att lämna ransomware-sektorn och istället fokusera på datastöld och utpressning. Hackarna fattade detta beslut efter att ha lyckats bryta mot Metropolitan Police Department i Washington, DC och skörda olika okrypterad information.
Analys av PayloadBIN visar faktiskt nära kopplingar till ransomware-hot som är förknippade med en annan cyberkriminell organisation som heter Evil Corp. Ända sedan det amerikanska finansdepartementets kontor för utländsk tillgångskontroll (OFAC) införde sanktioner mot Evil Corp har hackarna förlitat sig på ett flertal rebrands för att fortsätta sin verksamhet. Den här senaste operationen är bara ett sådant exempel med Evil Corp som ompaketerar sin WastedLocker Ransomware under ett annat namn i ett försök att efterlikna ex-Babuk-gänget.
VID PayloadBIN nu tillskrivs en sanktionerad hackgrupp med högt förtroende, är det extremt osannolikt att ransomware-förhandlingsföretag fortsätter att engagera sig med offren för hotet och underlätta ytterligare lösenbetalningar.
