Evil Corp, i cybercriminali russi che aggirano le sanzioni tramite un ransomware

Mandiant, una nota azienda statunitense di cybersecurity, ha pubblicato un report in cui afferma che Evil Corp, uno dei gruppi di cyber criminali russi più attivi e conosciuti al mondo, sta utilizzando il ransomware Lockbit, al fine di aggirare le sanzioni a cui è sottoposta da dicembre del 2019 da parte delle autorità statunitensi. L’uso di Lockbit permette a Evil Corp e i gruppi associati (in particolare un’unità, chiamata UNC2165) di scansare le sanzioni e il giro di vite delle autorità, dal momento che Lockbit opera come un ransomware as a service. Questo significa che gli hacker affiliati, dopo che un pagamento è andato a buon fine, trasferiscono parte del denaro ricevuto agli stessi gestori di Lockbit. Dal momento che molti hacker differenti utilizzano il servizio, Evil Corp potrebbe mescolarsi tra la folla di utilizzatori di Lockbit. i morti potrebbero quindi non rendersi conto di avere a che fare con un’entità russa sottoposta a sanzioni.

Evil Corp è uno dei gruppi di cyber criminali più ricercati al mondo. Secondo Malpedia, è responsabile di furti per oltre cento milioni di dollari ad aziende e consumatori. Gli hacker di Evil Corp sono noti, tra le altre cose, per il loro stile di vita sopra le righe e particolarmente appariscente. Un reportage di Vice del 2019 li mostra mentre stringono tra le braccia decine di mazzette di banconote o mentre girano per le vie di città russe con auto di lusso decorate con teschi fosforescenti.

Il gruppo di hacker dietro Lockbit non sembra molto contento di essere stato associato con Evil Corp. Lunedì ha affermato di aver hackerato Mandiant, come ritorsione, si suppone, per la cattiva pubblicità e ha pubblicato alcuni dati sottratti sul dark web, minacciando di rilasciare anche altri file – in tutto, secondo TechMonitor, sarebbero più di trecentomila. Mandiant sostiene, dal canto suo, che l’hacking non sia mai avvenuto. “Sulla base di quanto pubblicato, non ci sono indicazioni che i dati di Mandiant siano stati divulgati, ma piuttosto il soggetto in questione (Lockbit, ndr) sembra cercare di smentire il blog di Mandiant a proposito UNC2165 “, ha affermato la compagnia. 

Secondo alcuni esperti, l’attacco contro Mandiant – o presunto tale – avrebbe come scopo quello di evitare l’attenzione che deriverebbe dall’essere associati con una nota organizzazone criminale. Vice riporta una frase dal blog di LockBit. “Il nostro gruppo non ha nulla a che fare con Evil Corp. Siamo hacker underground della darknet, non abbiamo nulla a che fare con la politica o con servizi speciali come FSB, FBI e così via”. Lockbit non ha specificato l’esatta natura dei dati sottratti a Mandiant e che intende rilasciare pubblicamente. Un portavoce della compagnia ha dichiarato che la situazione è monitorata costantemente.