Cluster ancaman yang dijuluki UNC2165, yang berbagi banyak tumpang tindih dengan kelompok kejahatan dunia maya yang berbasis di Rusia yang dikenal sebagai Evil Corp, telah dikaitkan dengan beberapa intrusi ransomware LockBit dalam upaya untuk mengatasi sanksi yang dijatuhkan oleh Departemen Keuangan AS pada Desember 2019.
“Aktor-aktor ini telah beralih dari menggunakan varian ransomware eksklusif ke LockBit — ransomware yang terkenal sebagai layanan (RaaS) — dalam operasi mereka, kemungkinan akan menghambat upaya atribusi untuk menghindari sanksi,” perusahaan intelijen ancaman Mandiant mencatat dalam sebuah analisis minggu lalu.
Aktif sejak 2019, UNC2165 diketahui mendapatkan akses awal ke jaringan korban melalui kredensial curian dan malware pengunduh berbasis JavaScript yang disebut FakeUpdates (alias SocGholish), memanfaatkannya untuk menyebarkan ransomware Hades sebelumnya.
Hades adalah karya kelompok peretasan bermotivasi finansial bernama Evil Corp, yang juga disebut dengan julukan Gold Drake dan Indrik Spider dan telah dikaitkan dengan trojan Dridex (alias Bugat) yang terkenal serta jenis ransomware lain seperti BitPaymer, DoppelPaymer , dan WastedLocker selama lima tahun terakhir.
Poros UNC2165 dari Hades ke LockBit sebagai taktik penghindaran sanksi dikatakan telah terjadi pada awal 2021.
Menariknya, FakeUpdates juga, di masa lalu, berfungsi sebagai vektor infeksi awal untuk mendistribusikan Dridex yang kemudian digunakan sebagai saluran untuk menjatuhkan BitPaymer dan DoppelPaymer ke sistem yang disusupi.
Mandiant mengatakan pihaknya mencatat kesamaan lebih lanjut antara UNC2165 dan aktivitas spionase siber yang terhubung dengan Evil Corp yang dilacak oleh perusahaan keamanan siber Swiss PRODAFT dengan nama SilverFish yang ditujukan untuk entitas pemerintah dan perusahaan Fortune 500 di UE dan AS.
Kompromi awal yang berhasil diikuti oleh serangkaian tindakan sebagai bagian dari siklus serangan, termasuk eskalasi hak istimewa, pengintaian internal, pergerakan lateral, dan pemeliharaan akses jarak jauh jangka panjang, sebelum mengirimkan muatan ransomware.
Dengan sanksi yang digunakan sebagai sarana untuk mengendalikan serangan ransomware, yang pada gilirannya menghalangi korban untuk bernegosiasi dengan pelaku ancaman, menambahkan grup ransomware ke daftar sanksi — tanpa menyebutkan nama individu di belakangnya — juga telah diperumit oleh fakta bahwa sindikat kejahatan dunia maya sering cenderung menutup, berkumpul kembali, dan mengubah citra dengan nama yang berbeda untuk menghindari penegakan hukum.
“Adopsi ransomware yang ada adalah evolusi alami bagi UNC2165 untuk mencoba mengaburkan afiliasi mereka dengan Evil Corp,” kata Mandiant, sambil juga memastikan bahwa sanksi “bukan merupakan faktor pembatas untuk menerima pembayaran dari korban.”
“Menggunakan RaaS ini akan memungkinkan UNC2165 untuk berbaur dengan afiliasi lain, perusahaan menambahkan, menyatakan, “masuk akal bahwa aktor di balik operasi UNC2165 akan terus mengambil langkah tambahan untuk menjauhkan diri dari nama Evil Corp.”
Temuan dari Mandiant, yang sedang dalam proses diakuisisi oleh Google, sangat penting karena geng ransomware LockBit sejak itu menuduh bahwa mereka telah masuk ke jaringan perusahaan dan mencuri data sensitif.
Grup tersebut, selain mengancam akan merilis “semua data yang tersedia” di portal kebocoran datanya, tidak merinci sifat pasti dari konten dalam file tersebut. Namun, Mandiant mengatakan tidak ada bukti yang mendukung klaim tersebut.
“Mandiant telah meninjau data yang diungkapkan dalam rilis awal LockBit,” kata perusahaan itu kepada The Hacker News. “Berdasarkan data yang telah dirilis, tidak ada indikasi bahwa data Mandiant telah diungkapkan, tetapi aktor tersebut tampaknya mencoba untuk menyangkal penelitian Mandiant pada 2 Juni 2022 tentang UNC2165 dan LockBit.”