Evil Corp : changer de rançongiciel pour échapper aux sanctions financières

En 2019, Evil Corp, connu aussi sous le nom de UNC2165, était le gang de rançongiciel le plus actif du monde. A la fin 2019, les autorités américaines, sans avoir arrêté le moindre responsable du groupe, interdisent formellement aux entreprises US de lui verser un seul dollar.

Dans une note récente, Mandiant montre que, pour échapper à ces sanctions, UNC2165 a décidé d’abandonner l’infrastructure Evil Corp et son malware favori, Dridex, pour utiliser une succession de nouveaux rançongiciels (Bitpaymer, Doppelpaymer, WastedLocker, Hades, Phoenix Cryptolocker, PayloadBin, Macaw).

Selon Sentinel One, plusieurs de ces logiciels malveillants ont d’ailleurs des “similitudes dans le code ou leur configuration” avec ceux d’Evil Corp, laissant penser que leurs auteurs sont les mêmes.

Depuis, UNC2165 aurait même décidé d’abandonner les rançongiciels « propriétaires » pour s’affilier à LockBit. Mandiant estime que les cybercriminels, pour éviter les sanctions américaines, cherchent ainsi à dissimuler leurs liens avec Evil Corp, en se fondant dans l’activité plus large de LockBit.

Les chercheurs en sécurité se demandent par ailleurs si UNC2165 n’utilise pas cette solution « clé-en-main », le temps de développer un nouveau rançongiciel maison, suffisamment différent de ceux utilisés au temps d’Evil Corp pour pouvoir réapparaître sous une identité totalement nouvelle, coupant ainsi tout lien avec leur passé – et donc avec les sanctions US.

L’affaire présente des similitudes avec le cas de Conti, qui, devant les attaques dont le gang a été victime après avoir affiché son soutien à Vladimir Poutine, a récemment auto-démantelé son infrastructure de rançongiciel, probablement pour renaître sous une autre dénomination.