عادت Evil Corp وهي واحدة من أكبر عمليات البرمجيات الخبيثة (malware) على الإنترنت إلى الحياة ببطء بعد أن اتهمت وزارة العدل الأمريكية العديد من أعضائها في ديسمبر 2019.
في تقرير تم نشره قام بتفصيل أحدث أنشطة المجموعة.
تنشط مجموعة Evil Corp المعروفة أيضًا باسم عصابة Dridex منذ عام 2007 عندما قرر العديد من الأعضاء الذين شاركوا سابقًا في حصان طروادة ZeuS المصرفي تجربة حظهم الخاص في توزيع البرامج الضارة.
تركزت الجهود الأولية على توزيع حصان طروادة Cridex المصرفي وهو سلالة من البرامج الضارة تطورت فيما بعد إلى حصان طروادة Dridex المصرفي ثم تطورت لاحقًا إلى مجموعة أدوات Dridex متعددة الأغراض للبرامج الضارة.
على مر السنين أصبحت شركة Evil Corp من خلال تشغيلها في Dridex واحدة من أكبر شبكات البرامج الضارة والرسائل غير المرغوب فيها (spam) على الإنترنت.
وزعت المجموعة برامجها الضارة الخاصة ولكن أيضًا برامج ضارة للجماعات الإجرامية الأخرى بالإضافة إلى رسائل البريد العشوائي المخصصة.
قامت المجموعة بالتورط في توزيع برامج الفدية من خلال نشر برنامج Locky Ransomware للمستهلكين المنزليين طوال عام 2016.
عندما بدأ سوق برامج الفدية في تحويل الاستهداف من المستهلكين المنزليين إلى الأهداف المؤسسية تكيفت عصابة Evil Corp أيضًا وبعد التخلص من سلالة Locky للأبد قاموا بإنشاء برنامج فدية مخصص جديد يسمى BitPaymer.
استخدمت المجموعة الروبوتات الضخمة من أجهزة الكمبيوتر المصابة ببرامج Dridex الخبيثة للبحث عن شبكات الشركة ثم نشر BitPaymer على أكبر أهداف الشركة التي يمكن تحديدها.
قامت المجموعة بتشغيل BitPaymer بين 2017 و 2019 عندما بدأت الإصابات الجديدة في الانخفاض.
الأسباب غير واضحة ولكن التباطؤ في إصابات BitPaymer ربما كان له أيضًا علاقة مع تباطؤ Dridex في إبطاء نشاطها بين 2017 و 2019.
هذا التباطؤ بلغ ذروته بتهم وزارة العدل في ديسمبر 2019 بعد اتهامات بارزة توقفت المجموعة لمدة شهر كامل حتى يناير 2020.
عادت المجموعة إلى الحياة في يناير واندفعت ببعض حملات البرمجيات الخبيثة عادةً للمحتالين الآخرين حتى مارس عندما توقفت مرة أخرى.
ومع ذلك عندما عادت المجموعة إلى الحياة للمرة الثانية في عام 2020 فعلوا ذلك بأدوات جديدة.
المجموعة أنشأت سلالة جديدة من برامج الفدية لتحل محل متغير BitPaymer القديم الذي يستخدمونه منذ أوائل عام 2017.
الأسباب الفعلية لاستبدال BitPaymer يكتنفها الغموض.
ومع ذلك يبدو أن هذا الاستبدال هو سلالة جديدة تمامًا من برامج الفدية مكتوبة من نقطة الصفر.
بدأت Evil Corp في نشر WastedLocker.
أطلقت WansedLocker على برنامج الفدية الجديد هذا استنادًا إلى امتداد الملف الذي تضيفه إلى الملفات المشفرة والتي تتكون عادةً من اسم الضحية متبوعاً بالكلمة"wasted".
يقول باحثو الأمن أن تحليل برنامج الفدية الجديد هذا كشف عن القليل من إعادة استخدام الكود أو أوجه التشابه بين الكود بين BitPaymer و WastedLocker ومع ذلك لا تزال بعض أوجه التشابه لا تزال في نص مذكرة الفدية.
برامج الفدية تم نشرها حصريًا ضد الشركات الأمريكية.
وقال مارتن فان دانتزيجالباحث في أمن تكنولوجيا المعلومات في شبكة فوكس لتكنولوجيا المعلومات:
طلبات الفدية التي تطلبها شركة Evil Corp عادة ما تكون بالملايين .
وأضاف رأينا مطالب بأكثر من 10 ملايين دولار.
لم يتم تأكيد ما إذا كان أي من ضحايا WastedLocker دفع مطالب الفدية.
ومع ذلك مشغلي Evil Corp يتسمون بالعدوانية الشديدة عند نشر برنامج WastedLocker Ransomware الجديد.
وقال الباحثون: "عادةً ما يصيبون بخوادم الملفات وخدمات قواعد البيانات والأجهزة الافتراضية والبيئات السحابية".
علاوة على ذلك Evil Corp ستحاول أيضًا تعطيل تطبيقات النسخ الاحتياطي والبنية التحتية ذات الصلة في محاولة لزيادة الوقت اللازم للشركات للتعافي.
في حال لم يكن لدى الشركات نسخ احتياطي دون اتصال بالإنترنت فإن حذف النسخ الاحتياطية يكاد يكون من المؤكد أنه يدفع الضحايا نحو دفع الفدية - إذا كان بوسعهم تحمل "أسعار فك التشفير" الجديدة لشركة Evil Corp التي تقدر بملايين الدولارات.
وقال مايكل ساندي ، الباحث الأمني في شركة Fox-IT:
"بناءً على العينات المقدمة إلى VirusTotal ، فإننا نقدر أن WastedLocker قد تم استخدامه بالفعل كحمل فدية (ransomware) في عدد من الحالات حوالي 5 وعلى الأرجح أكثر" .
ومع ذلك Evil Corp لم تفعل شيئًا شائعًا جدًا مع عصابات برامج الفدية الأخرى في الوقت الحالي.
على الرغم من قضاء كل هذا الوقت في تطوير سلالة جديدة من برامج الفدية لا يتضمن WastedLocker أي وظائف لسرقة البيانات.
في الوقت الحاضر ما يقرب من 10 إلى 15 من عصابات برامج الفدية ستصيب شبكة الشركات وتسرق بيانات الملكية ثم تهدد بنشر الملفات عبر الإنترنت على ما يسمى بمواقع التسرب أو بوابات مشاركة الملفات.
Evil Corp لا تفعل شيئًا من هذا القبيل.
هذا لا يعني أن المجموعة لا تستطيع فعل ذلك ولكنهم اختاروا عدم القيام بذلك.
تسريب البيانات المسروقة عادة ما يجلب الكثير من الاهتمام الإعلامي وهو أمر من المحتمل أن يحاول المتسللون تجنبه لأن بعض أعضائهم موجودون بالفعل على قائمة أكبر مكتب مطلوب لدى مكتب التحقيقات الفدرالي ولا يريدون للسلطات الأمريكية إعطاء الأولوية لاعتقالاتهم.