Хакеры Evil Corp выдают себя за конкурентов
#кибервымогательство
Хакеры Evil Corp выдают себя за конкурентов

Специалисты по кибербезопасности сообщили о серии атак нового вымогательского ПО PayloadBIN. Зловред добавляет всем зашифрованным файлам расширение .PAYLOADBIN, а файл с требованием выкупа носит название PAYLOADBIN-README.txt. Изначально подозрение в создании этого ПО и организацию атак пало на киберпреступную группировку Babuk. Она наделала много шума атакой на столичное управление полиции Вашингтона в апреле нынешнего года. Вскоре после этого хакеры заявили, что отходят от вымогательских атак, а затем переименовали свой проект в Payload Bin. Поэтому логично было предположить, что их обещание прекратить вымогательство было привычной для преступников ложью.

Однако реальная ситуация оказалась сложнее и любопытнее. Сразу двое исследователей – Фабиан Уозар из Emsisoft и Майкл Гиллеспи из ID Ransomware – независимо друг от друга установили, что за атаками стоит вовсе не бывшая группировка Babuk, а совсем другая хакерская группа - Evil Corp. Она преуспевала в вымогательских атаках на протяжении нескольких лет. И в конечном итоге масштаб ее деятельности стал настолько угрожающим, что в 2019 Министерство финансов США ввело санкции, запрещающие компаниям и частным лицам иметь дело с Evil Corp. Это автоматически исключало возможность уплаты выкупа за восстановление доступа к зашифрованным данным. Попав в эту ситуацию, хакеры Evil Corp начали прибегать к тактике переименования своих зловредов – известно, что они уже использовали имена WastedLocker, Hades, и Phoenix. Теперь же они, очевидно, и вовсе решили выдать себя за другую хакерскую группу, воспользовавшись именем Payload Bin.