Le gang Evil Corp a été empêché de déployer des charges utiles de rançongiciels WastedLocker dans des dizaines d’attaques contre de grandes sociétés américaines, y compris des sociétés du Fortune 500.

« La grande majorité des cibles sont de grandes sociétés, y compris de nombreux noms de ménages », a déclaré Symantec. Outre un certain nombre de grandes sociétés privées, il y avait 11 sociétés cotées, dont huit sociétés du Fortune 500. « 

Le groupe a été impliqué dans le passé dans la distribution de la boîte à outils de logiciels malveillants Dridex, utilisée plus tard pour fournir également les charges utiles de logiciels malveillants d’autres acteurs de la menace, ainsi que du ransomware Locky et de leur propre ransomware connu sous le nom de BitPaymer jusqu’en 2019.

Evil Corp a renouvelé ses tactiques après que deux de leurs membres ont été inculpés par le ministère américain de la Justice en décembre 2019 et sont maintenant à nouveau dans le secteur des ransomwares déployant WastedLocker dans les réseaux d’entreprise et demandant des rançons de millions de dollars.

Attaques bloquées avant le déploiement du rançongiciel

« Au moins 31 organisations de clients ont été attaquées, ce qui signifie que le nombre total d’attaques pourrait être beaucoup plus élevé », ont expliqué les chercheurs de Symantec qui ont repéré ces attaques.

« Les attaquants avaient violé les réseaux d’organisations ciblées et étaient en train de préparer le terrain pour organiser des attaques de rançongiciels. »

Une seule des 31 grandes sociétés privées ciblées n’était pas une entreprise américaine mais plutôt une filiale américaine d’une multinationale étrangère.

Infos WEB:  Des pirates vietnamiens organisent des campagnes d'espionnage COVID-19 contre la Chine

Les attaques d’Evil Corp visaient un large éventail de secteurs industriels, en mettant l’accent sur la fabrication (cinq des 31 cibles), avec quatre autres organisations du secteur des technologies de l’information et trois des télécommunications.

Cibles de WastedLocker par secteur d'activité
Objectifs de WastedLocker par secteur industriel (Symantec)

« Les attaques commencent par un framework basé sur JavaScript malveillant connu sous le nom de SocGholish, suivi vers plus de 150 sites Web compromis, qui se fait passer pour une mise à jour logicielle », a ajouté Symantec.

« Une fois la…

Voir la source de cette publication