De Dridex à Macaw, SentinelLabs analyse l’évolution d’Evil Corp
février 2022 par SentinelLabs
SentinelLabs, la division de recherche de SentinelOne, vient de publier les résultats de ses recherches menées sur l’organisation cybercriminelle russe Evil Corp, active depuis 2007, et son fonctionnement via un vivier de malwares.
Depuis les sanctions de l’OFAC en 2020, la communauté mondiale du renseignement s’est divisée en plusieurs camps quant à la manière dont Evil Corp fonctionnait.
Après une analyse approfondie de l’activité, des logiciels malveillants et TTP (tactiques, techniques et procédures) d’Evil Corp, SentinelLabs estime, avec un niveau de confiance élevé, que WastedLocker, Hades, Phoenix Locker et PayloadBIN appartiennent au même groupe. Il existe, en effet, entre les différents malwares de fortes similitudes de code, de TTP et de configurations.
SentinelLabs s’est également fortement appuyée sur l’analyse de l’outil de cryptage, CryptOne – dont Evil Corp est devenu client en mars 2020 - qui joue un rôle important dans le regroupement et développement des malwares Evil Corp.