Po postawieniu zarzutów niektórym „istotnym” członkom Evil Corp, grupa rozpoczęła prace nad stworzeniem nowej taktyki. Oznaczało to ni mniej ni więcej start prac nad nowym zagrożeniem. Niedawno ujrzało ono światło dzienne.

Najnowszy ransomware o nazwie WastedLocker jest wykorzystywany w ukierunkowanych atakach na firmy. Grupa zawsze była wybiórcza pod względem infrastruktur, które szyfrowała. Przestępcy zwykle atakują serwery plików, usługi baz danych, maszyny wirtualne i środowiska chmurowe.

Aby dostarczyć nowe oprogramowanie ransomware, Evil Corp włamuje się na witryny w celu wstrzyknięcia złośliwego kodu. Jego zadaniem jest wyświetlenie fałszywych powiadomień o konieczności przeprowadzenia aktualizacji oprogramowania.

Źródło: BleepingComputer

Jednym z przesyłanych podczas ataku payloads jest zestaw narzędzi pentesterskich Cobalt Strike. Przestępcy wykorzystują je do uzyskania dostępu i zainfekowanego urządzenia, a potem jeśli to możliwe – już całej sieci.

Po zakończeniu instalacji WastedLocker szyfruje wszystkie dyski na komputerze, pomijając pliki w określonych folderach lub zawierające określone rozszerzenia. Ale to nie wszystko. Pliki o rozmiarze mniejszym niż 10 bajtów są przez atakujących ignorowane. Jeśli jednak ransomware natrafi na większy plik, zostanie on zaszyfrowany w blokach po 64 MB.

Dla każdego zaszyfrowanego pliku ransomware tworzy notatkę zawierającą informacje jak skontaktować się z przestępcami w celu ustalenia wysokości okupu. Co ciekawe, WastedLocker nie wykrada danych przed ich zaszyfrowaniem. O jak wysokie stawki grają przestępcy?  Według informacji do których dotarł serwis BleepingComputer, żądania okupu wahają się w granicach 500 tys. i kilku/kilkunastu milionów dolarów amerykańskich.

Źródło