Le nouveau ransomware PayloadBIN a été attribué au gang de cybercriminalité Evil Corp, rebaptisé pour échapper aux sanctions imposées par l’Office of Foreign Assets Control (OFAC) du département du Trésor américain.

Le gang Evil Corp, également connu sous le nom d’Indrik Spider et le gang Dridex, a commencé en tant qu’affilié du botnet ZeuS. Au fil du temps, ils ont formé un groupe qui s’est concentré sur la distribution du cheval de Troie bancaire et du téléchargeur appelé Dridex via des e-mails de phishing.

Alors que les cybergangs commençaient à passer à des attaques de ransomware très rentables, Evil Corp a lancé une opération de ransomware appelée BitPaymer, qui a été livrée via le malware Dridex dans les réseaux d’entreprise compromis.

Après avoir été sanctionnées par le gouvernement américain en 2019, les sociétés de négociation de ransomwares ont refusé de faciliter le paiement des rançons pour les attaques de ransomwares Evil Corp afin d’éviter des amendes ou des poursuites judiciaires de la part du département du Trésor.

Evil Corp a commencé à renommer ses opérations de ransomware sous différents noms tels que WastedLocker, Hades et Phoenix pour contourner ces sanctions.

Les acteurs de la menace ont utilisé Phoenix dans une attaque contre la société d’assurance CNA.

Evil Corp usurpe l’identité du groupe de piratage Payload Bin

Après avoir violé le département de la police métropolitaine de Washington, DC, et volé des données non cryptées, le gang Babuk a déclaré qu’il abandonnait le cryptage par ransomware et se concentrait plutôt sur le vol et l’extorsion de données.

À la fin du mois de mai, le site de fuite de données de Babuk a fait l’objet d’une actualisation de conception où le gang de ransomware a été renommé en un nouveau groupe appelé « bac de charge utile », illustré ci-dessous.

Jeudi, BleepingComputer a trouvé un nouvel échantillon de ransomware appelé PayloadBIN [VirusTotal] que nous avons immédiatement supposé être lié au changement de marque de Babuk Locker.

Une fois installé, le ransomware ajoutera le .TÉLÉCHARGEMENT DE TÉLÉCHARGEMENT extension aux fichiers cryptés, comme indiqué ci-dessous.

De plus, la note de rançon est nommée ‘PAYLOADBIN-README.txt‘ et déclare que la victime…