Evil Corp è un gruppo di cybercriminali noto anche come INDRIK SPIDER che opera dal 2007. La gang è nota anche come Dridex, per via dell'omonimo malware con cui ha iniziato a operare, prima del passaggio agli attacchi ransomware.
E a proposito di quest'ultima tipologia di malware, sembra che il gruppo abbia deciso di passare a LockBit, un noto ransomware utilizzabile anche contro sistemi Linux, allo scopo di aggirare le sanzioni imposte dall'OFAC, ovvero il dipartimento per il controllo degli asset stranieri del Dipartimento del Tesoro degli Stati Uniti. In precedenza, il gruppo aveva utilizzato Locky e poi BitPaymer, un ransomware sviluppato internamente e abbandonato nel 2019. Prima di arrivare a LockBit, il gruppo ha utilizzato Dridex, WastedLocker, Hades (variante a 64 bit di quest'ultimo) e altri.
Gli analisti di Mandiant hanno scoperto che i criminali informatici di Evil Corp hanno deciso di abbandonare gli strumenti usati in passato per evitare le possibili sanzioni imposte dalle normative OFAC. Infatti, è stata scoperta una cellula di Evil Corp, nota come UNC2165 e che in passato aveva usato proprio Hades per i propri attacchi, che è divenuta affiliata di LockBit, affidandosi dunque al mercato dei RaaS (Ransomware-as-a-service).
In questo modo, è più facile per il gruppo confondersi tra la folla di altri utenti RaaS, dato che non vengono più impiegati strumenti esclusivi e facilmente riconducibili a Evil Corp.
Il RaaS è un fenomeno in crescita, come segnalato da Kaspersky in una recente indagine, e dal team Microsoft Security attraverso il proprio blog: per Evil Corp risulta ulteriormente vantaggioso, poi, perché il non dover più gestire direttamente lo sviluppo dei propri tool consente di dedicare maggiore attenzione all'ampliamento delle operazioni e della portata degli attacchi.
In generale, si tratta di un fenomeno da non sottovalutare, come vi abbiamo consigliato spesso, per questo motivo è opportuno conoscere la portata dei potenziali danni e dotarsi di uno dei migliori antivirus per proteggersi dal ransomware.