Evil Corp犯罪集团使用LockBit勒索软件逃避制裁

据Mandiant 研究人员调查发现，很多LOCKBIT 勒索软件攻击与UNC2165经济动机的威胁参与者有关。而该组织和Evil Corp犯罪集团有很多重叠之处，有可能是Evil Corp集团的最新版本。据推断，Evil Corp集团使用LockBit勒索软件的身份，以此逃避美国制裁。

关于UNC2165组织

从2019年开始，UNC2165组织一直保持活跃。该组织使用FAKEUPDATES 感染链（又名  UNC1543）访问受害者的网络，同时FAKEUPDATES 也被用作 DRIDEX 感染的初始感染媒介，用于在攻击的最后阶段部署BITPAYMER或DOPPELPAYMER。

此前，UNC2165 攻击者也部署了HADES 勒索软件。

Mandiant 分析，基于 UNC2165 和 Evil Corp 之间的重叠，我们很自信地评估，这些行为者已经不再使用专有的勒索软件变体，而是使用lockbit（一种众所周知的勒索软件即服务 (RaaS)），这可能是为了逃避制裁而做出的努力。

Evil Corp 可能已经开始使用 LockBit 勒索软件，以逃避2019 年 12 月美国财政部实施的制裁。

据悉，美国财政部外国资产控制办公室(OFAC)于2019年12月批准了Evil Corp，以广泛打击以传播上述信息窃取 Dridex 恶意软件以及后来其自己的 WastedLocker 勒索软件而闻名的危险且多产的网络犯罪集团。制裁基本上禁止任何美国实体开展业务或与 Evil Corp 有关联，有效地阻止了勒索软件谈判公司为该集团支付赎金，限制了其从犯罪活动中获利的能力。

在制裁和随后对其领导人的起诉之后，该公司短暂中断，但此后通过巧妙的品牌重塑掩盖了自己，继续其邪恶的活动。

采用现有的勒索软件是 UNC2165 试图掩盖其与 Evil Corp 的关系的自然演变。LOCKBIT 近年来的突出地位及其被多个不同威胁集群的成功使用都可能使勒索软件成为一个有吸引力的选择。使用此 RaaS 将允许 UNC2165 与其他关联公司融合，需要对攻击生命周期的早期阶段进行可见性，以正确归因于活动，而之前的操作可能是基于使用专有勒索软件而造成的。

UNC2165 行动背后的参与者会继续采取其他措施，比如使用不同的身份掩盖自己，与 Evil Corp 的名称保持距离，继续通过这些手段逃避美国法律的制裁。