據(jù)Bleeping Computer網(wǎng)站披露，黑客組織Evil Corp為擺脫美國制裁，在近日推出名為Macaw Locker的新型勒索軟件。

[[430526]]

黑客組織Evil Corp，業(yè)界又稱其Indrik Spider 和 Dridex 團(tuán)伙，自2007年以來一直參與網(wǎng)絡(luò)犯罪活動，但一直都是作為其他黑客組織的附屬。隨著時(shí)間的推移，該組織不斷壯大后，開始通過在網(wǎng)絡(luò)釣魚攻擊中創(chuàng)建和分發(fā)一種名為Dridex的銀行木馬，獨(dú)立實(shí)施網(wǎng)絡(luò)自己的攻擊行為。

黑客組織Evil Corp 起源于2007年

隨著勒索軟件攻擊變得越來越有利可圖，Evil Corp發(fā)起了一項(xiàng)名為 BitPaymer 的操作，該操作通過 Dridex 惡意軟件傳送到受感染的公司網(wǎng)絡(luò)，之后進(jìn)行勒索行為，這樣的犯罪活動最終導(dǎo)致他們在2019年受到美國政府的制裁。

為了繞過美國的制裁，Evil Corp開始以 WastedLocker、Hades、Phenoix Locker 和 PayloadBin 等各種名稱創(chuàng)建有限使用的勒索軟件操作。

但是業(yè)界普遍認(rèn)為DoppelPaymer也是該組織勒索軟件家族的成員，但沒有直接的證據(jù)表明這樣的說法。

Macaw Locker兩次攻擊行為

十月份， 奧林巴斯和辛克萊廣播集團(tuán)的運(yùn)營受到周末勒索軟件攻擊的嚴(yán)重干擾，研究人員發(fā)現(xiàn)這兩次攻擊都是由一種名為 Macaw Locker 的新型勒索軟件發(fā)起的。其中一次勒索事件中，攻擊者要求450比特幣(2800萬美元贖金)，另一次攻擊要求支付4000 萬美元贖金，目前尚不清楚每個贖金要求與哪家公司相關(guān)。

Emsisoft首席技術(shù)官 Fabian Wosar 稱，根據(jù)研究人員對代碼分析，Macaw Locker 是 Evil Corp 勒索軟件系列的最新品牌。

Macaw Locker勒索軟件在進(jìn)行攻擊時(shí)，會加密受害者的文件并在文件名后附加 .macaw擴(kuò)展名。在加密文件時(shí)，該勒索軟件還將在每個文件夾中創(chuàng)建名為macaw_recover.txt的贖金筆記。每次攻擊，贖金筆記包含Macaw Locker的Tor網(wǎng)站上一個獨(dú)特的受害者談判頁面和一個相關(guān)的解密ID，或活動ID，，如下所示。

Macaw Locker 贖金記錄

該團(tuán)伙的暗網(wǎng)談判網(wǎng)站，包含對受害者遭遇的簡要介紹，一個免費(fèi)解密三個文件的工具，以及一個與攻擊者談判的聊天框。

Macaw Locker Tor 付款談判網(wǎng)站

現(xiàn)在已經(jīng)確定Macaw Locker是Evil Corp的一個變種，后續(xù)我們很可能會看到攻擊者再次重新命名他們的勒索軟件。

在 Evil Corp 停止執(zhí)行勒索軟件攻擊或取消制裁之前，這種持續(xù)不斷的貓捉老鼠游戲可能永遠(yuǎn)不會結(jié)束，然而，這兩種情況都不太可能在不久的將來發(fā)生。