Der Bedrohungscluster mit dem Namen UNC2165, der zahlreiche Überschneidungen mit einer in Russland ansässigen Cybercrime-Gruppe namens Evil Corp aufweist, wurde mit mehreren LockBit-Ransomware-Intrusionen in Verbindung gebracht, mit denen versucht wurde, die vom US-Finanzministerium im Dezember 2019 verhängten Sanktionen zu umgehen.
„Diese Akteure haben sich bei ihren Operationen von exklusiven Ransomware-Varianten auf LockBit – eine bekannte Ransomware-as-a-Service (RaaS) – verlagert, wahrscheinlich um die Zuordnung zu erschweren, um die Sanktionen zu umgehen“, stellte das Bedrohungsforschungsunternehmen Mandiant letzte Woche in einer Analyse fest.
UNC2165 ist seit 2019 aktiv und verschafft sich über gestohlene Zugangsdaten und einen JavaScript-basierten Downloader namens FakeUpdates (auch bekannt als SocGholish) Zugang zu den Netzwerken der Opfer und nutzt diesen, um die Ransomware Hades zu installieren.
Hades ist das Werk einer finanziell motivierten Hackergruppe namens Evil Corp, die auch unter den Namen Gold Drake und Indrik Spider bekannt ist und in den letzten fünf Jahren für den berüchtigten Trojaner Dridex (auch bekannt als Bugat) sowie für andere Ransomware-Stämme wie BitPaymer, DoppelPaymer, WastedLocker, Phoenix, PayloadBIN, Grief und Macaw verantwortlich gemacht wurde.
Der Wechsel von UNC2165 von Hades zu LockBit zur Umgehung von Sanktionen soll Anfang 2021 stattgefunden haben.
Interessanterweise diente FakeUpdates in der Vergangenheit auch als anfänglicher Infektionsvektor für die Verbreitung von Dridex, das dann als Kanal für BitPaymer und DoppelPaymer auf kompromittierten Systemen verwendet wurde.
Mandiant stellte weitere Ähnlichkeiten zwischen UNC2165 und einer mit der Evil Corp verbundenen Cyberspionageaktivität fest, die von der Schweizer Cybersecurity-Firma PRODAFT unter dem Namen SilverFish aufgespürt wurde und auf Regierungsstellen und Fortune-500-Unternehmen in der EU und den USA abzielte.
Auf eine erfolgreiche erste Kompromittierung folgt eine Reihe von Aktionen als Teil des Angriffslebenszyklus, einschließlich Privilegienerweiterung, interner Erkundung, seitlicher Bewegung und Aufrechterhaltung eines langfristigen Fernzugriffs, bevor die Ransomware-Nutzdaten ausgeliefert werden.
Da Sanktionen zunehmend als Mittel zur Eindämmung von Ransomware-Angriffen eingesetzt werden und die Opfer daran hindern, mit den Bedrohungsakteuren zu verhandeln, wird die Aufnahme einer Ransomware-Gruppe in eine Sanktionsliste – ohne Nennung der dahinter stehenden Personen – auch dadurch erschwert, dass cyberkriminelle Syndikate oft dazu neigen, sich umzugruppieren und unter einem anderen Namen aufzutreten, um die Strafverfolgung zu umgehen.
„Die Übernahme einer bereits existierenden Ransomware ist eine natürliche Entwicklung für UNC2165, um ihre Zugehörigkeit zu Evil Corp. zu verschleiern“, so Mandiant, während gleichzeitig sichergestellt wird, dass Sanktionen „kein limitierender Faktor sind, um Zahlungen von Opfern zu erhalten“.
Die Verwendung dieses RaaS würde es UNC2165 ermöglichen, sich mit anderen verbundenen Unternehmen zu vermischen“, fügte das Unternehmen hinzu und erklärte: „Es ist plausibel, dass die Akteure hinter UNC2165 weitere Schritte unternehmen werden, um sich von dem Namen Evil Corp zu distanzieren.“
Die Erkenntnisse von Mandiant, das gerade von Google übernommen wird, sind besonders wichtig, da die LockBit-Ransomware-Bande inzwischen behauptet, in das Netzwerk des Unternehmens eingedrungen zu sein und sensible Daten gestohlen zu haben.
Die Gruppe drohte nicht nur damit, „alle verfügbaren Daten“ auf ihrem Datenleck-Portal zu veröffentlichen, sondern machte auch keine genauen Angaben zu den Inhalten dieser Dateien. Mandiant erklärte jedoch, dass es keine Beweise für diese Behauptung gibt.
„Mandiant hat die Daten, die in der ersten LockBit-Veröffentlichung veröffentlicht wurden, überprüft“, so das Unternehmen gegenüber The Hacker News. „Anhand der veröffentlichten Daten gibt es keine Hinweise darauf, dass Daten von Mandiant weitergegeben wurden, sondern der Akteur scheint zu versuchen, die Recherchen von Mandiant vom 2. Juni 2022 über UNC2165 und LockBit zu widerlegen.