Les cybercriminels d'Evil Corp font évoluer leurs techniques en matière de ransomware, pour échapper aux sanctions américaines. Selon une récente étude publiée par la société de cybersécurité Mandiant, ces hackers basés en Russie ont évolué vers un modèle de RaaS (ransomware-as-a-service) pour garder l'anonymat.

Evil Corp et UNC2165, un seul et même gang ?

En décembre 2019, l'Office of Foreign Assets Control (OFAC), une unité du Trésor américain, a sanctionné Evil Corp pour avoir déployé malware Dridex. Ce logiciel malveillant aurait permis de dérober plus de 100 millions de dollars à des centaines de banques et d'institutions financières. Depuis quelques mois, les chercheurs en cybersécurité de Mandiant ont observé un certain nombre d'intrusions de ransomware sans être en mesure de l'attribuer à un groupe de hackers en particulier.

Ce ransomware a été baptisé UNC2165. Selon l'étude réalisée par la société, le ransomware partage de « nombreux points communs avec les techniques utilisées habituellement par Evil Corp ». D'après eux, cela représente probablement une évolution des opérations des acteurs affiliés aux hackers russes. UNC2165 est un groupe de cybercriminels que Mandiant suit depuis 2019. Le principe de l'attaque consiste à pousser les internautes à ouvrir une pièce jointe, sous couvert d'une mise à jour du navigateur.

Le modèle du RaaS séduit les hackers

Autrefois, Evil Corp a également utilisé cette tactique pour servir de vecteur d'infection avec Dridex. Même chose pour le déploiement de BitPaymer et de WastedLocker, deux variantes également utilisées par Evil Corp. UNC2165 a également déployé le ransomware Hades, dont le code et les fonctionnalités présentent des similitudes avec d'autres ransomwares soupçonnés d'être associés à Evil Corp. Les chercheurs de Mandiant ont également constaté des similitudes dans l'infrastructure.

Ce n'est pas la première fois qu'Evil Corp change de tactique pour éviter les sanctions, mais cette fois-ci les chercheurs en cybersécurité constatent un véritable changement de stratégie avec l'adoption d'un modèle RaaS. En théorie, cela permet aux hackers de mener leurs opérations dans l'anonymat. Le rapport précise que « l'adoption d'un modèle RaaS est une évolution naturelle pour UNC2165 qui tente de masquer son affiliation à Evil Corp. Cela pourrait permettre aux hackers de gagner du temps pour développer un nouveau ransomware à partir de zéro ».

Cette étude est publiée quelques semaines seulement après que le gang de ransomware REvil (qui a longtemps été lié à des activités attribuées à Evil Corp) ait été arrêté par le FSB sur ordre des États-Unis. En début d'année, le FSB a mené des perquisitions à 25 adresses liées à 14 suspects appartenant à REvil. Cette opération a clairement marqué la fin du règne pour le célèbre groupe de cybercriminels, spécialisé dans les attaques par rançongiciel.