2. evil group, UNC2165 group

최근 Mandiant가 Lockbit ransomware에 공격당했다고 알려졌었다.

얼마지나지 않아서, Mandiant Lockbit ransomware 운영 그룹으로 알려져있는 evil group에 대한 정보를 포스팅했다.

https://www.mandiant.com/resources/unc2165-shifts-to-evade-sanctions

To HADES and Back: UNC2165 Shifts to LOCKBIT to Evade Sanctions | Mandiant

The U.S. Treasury Department's Office of Foreign Assets Control (OFAC) sanctioned the entity known as Evil Corp in December 2019, citing the group's extensive development and use and control of the DRIDEX malware ecosystem. Since the sanctions were announc

www.mandiant.com

재밌는건 Lockbit ransomware 운영 그룹인 evil group(aka. UNC2165)가 예전에 HADES ransomware를 운영했었고 현재 Lockbit으로 옮겨왔다고 주장한다는 것이다.

실제로 UNC2165는 도플페이머, 비트페이머 등도 공격 포인트에 있어 초기 공격으로 사용했던 전력이 있는데 해당 악성코드들이 업데이트페이커 등을 활용하는 형태가 비슷하고, 공격 형태가 비슷해 Lockbit ransomware로 옮겨간 것으로 보인다고 주장한다.

아래 사진은 Mandiant 에서 정리한 비트페이머, 도플페이머, Hades 랜섬웨어 등의 운영 시기이다.

Lockbit ransomware에서는 Mandiant에서 탈취한 정보를 공개하고 있는 상태이다.

Dridex 등을 유포하던 evil group이 Lockbit ransomware의 운영을 맡은 것으로 보는 것이 맞는 것 같다. 동시에, 예전에 Hades ransomware는 locky ransomware의 흉내를 낸다고도 보여졌었다.

https://www.proofpoint.com/us/threat-insight/post/hades-locker-ransomware-mimics-locky

Hades Locker Ransomware Mimics Locky | Proofpoint

Proofpoint researchers identify a new ransomware variant known as Hades Locker sent via the same spam botnet as recent CryptFile2 and MarsJoke campaigns.

www.proofpoint.com

연결해보면, Dridex를 유포했던 그룹은 evil, TA505 등으로 알려진 그룹이다. 동시에, locky ransomware를 유포했던 그룹이 TA505 그룹이다.

즉, Dridex와 locky ransomware, 도플페이머, 비트페이머 등을 운영했던 evil group 혹은 그룹의 일원이 Lockbit ransomware로 넘어가 운영하고 있는 것으로 보인다.

Malware	Operator
Dridex	evil, TA505
Locky	TA505
Dopplepaymer	evil, UNC2165
Bitpaymer	evil, UNC2165
Lockbit	evil

'DarkWeb' 카테고리의 다른 글

1. Conti group (0)	2022.05.25
0. Ranion ransomware(EGALYTY Ransomware?) (0)	2022.05.17

p3ngdump's study blog

2. evil group, UNC2165 group

'DarkWeb' 카테고리의 다른 글

티스토리툴바

2. evil group, UNC2165 group

'DarkWeb' 카테고리의 다른 글

'DarkWeb' Related Articles

티스토리툴바