La tristement célèbre organisation de cybercriminalité connue sous le nom d’Evil Corp pourrait mener des opérations de cyberespionnage pour le compte d’une agence de renseignement russe, selon la société de conseil en sécurité Truesec.

Actif depuis au moins 2009 et également appelé TA505, le groupe de piratage est connu pour l’utilisation du cheval de Troie bancaire Dridex, mais aussi pour les familles de ransomwares telles que Locky, Bart, Jaff et BitPaymer, ainsi que les plus récents WastedLocker et Hades .

Evil Corp serait dirigé par les ressortissants russes Maksim Yakubets et Igor Turashev, qui ont été inculpés par les États-Unis en 2019. En plus de déployer des logiciels malveillants financiers et de causer des dizaines de millions de pertes, Yakubets travaille pour le renseignement russe depuis au moins 2017, l’acte d’accusation dit.

De nouvelles preuves que les chercheurs en sécurité de Truesec ont découvertes valident l’hypothèse d’une relation étroite entre le groupe de cybercriminalité et le Kremlin, et suggèrent même qu’Evil Corp pourrait avoir évolué pour devenir un groupe de cyberespionnage qui utilise des attaques de ransomware pour dissimuler ses véritables intentions.

L’analyse d’un incident de ransomware impliquant Evil Corp a révélé l’utilisation d’outils, de techniques et de procédures (TTPS) précédemment associés au groupe de cyberespionnage sophistiqué SilverFish, qui a récemment été associé à l’attaque SolarWinds.

L’attaque, révèle Truesec, a commencé par un téléchargement au volant qui a conduit à l’installation d’une porte dérobée qui fournit aux attaquants un contrôle complet de la machine victime, et a abouti au déploiement de l’implant Cobalt Strike comme deuxième étape quelques minutes plus tard.

La découverte du réseau a commencé quelques minutes plus tard et l’adversaire «a réussi à compromettre complètement l’infrastructure dans les quatre heures suivant la violation initiale». Des vulnérabilités courantes ont été exploitées dans le cadre de l’attaque, les opérations manuelles ayant commencé quelques minutes après le compromis initial, ce qui est «remarquable, étant donné que l’attaque …