30 Jul 2020
Cibercrimen No Comments
30 julio, 2020 Alberto

El ataque a Garmin, WastedLocker y su relación con EvilCorp

Maksim Yakubets, lider de EvilCorp con su Lamborgini

Continuando con la publicación anterior, después de escuchar las primeras noticias sobre del caso Garmin busqué muestras en VirusTotal.  Y efectivamente, el 26 de Julio subieron muestras del ransomware Wastedlocker modificando la extensión de cifrado por GARMINWASTED_INFO.  El compromiso era real y con una variante de ransomware de las nuevas.

Muestra de WastedLocker de Garmin en VirusTotal

Muestra de WastedLocker de Garmin en VirusTotal

Pronto me llamó la atención esta táctica de cambiar la extensión de cifrado con el nombre de la víctima.  Sinceramente después de la investigación de Bitpaymer hacía tiempo que ya no estaba siguiendo a EvilCorp.  Pero sospeché si podían estar detrás ellos.  ¿Entonces qué otras relaciones hay entre Wastedlocker y EvilCorp?.  Aunque hay muchas en común todavía hay casas de Inteligencia como FireEye que no se mojan en decir que son los mismos.  Quizás también podría ser una nueva escisión del grupo, como cuando nació Wizard Spider con Ryuk al dejar a Indrik Spider (A.k.a. EvilCorp).

Las evidencias que he encontrado para decir que si no son ellos, son gente muy cercana se encuentran en el mensaje de rescate.  Utilizan la misma infraestructura de correo de Protonmail, la misma nomenclatura para las víctimas y las direcciones de correo electrónico de contacto y pago.

WastedLocker Note

WastedLocker Note

Y la verdad es que si después de esto buscas información acerca de la relación entre Wastedlocker y EvilCorp hay decenas de publicaciones indicando todo tipo de similitudes.  Investigadores que han gestionado incidentes de Wastedlocker diciendo que utilizan las mismas tácticas, técnicas y procedimientos de ataque.  Algunas herramientas como SocGholish o Cobalstrike, etc.

Así pues si todavía tienes curiosidad sobre quien hay detrás de EvilCorp y su relación con WastedLocker y Garmín, el año pasado el Reino Unido publicó varias fotos e información sobre ellos y muchos diarios se hicieron eco de la noticia.

https://clipset.com/evil-corp-hackers-estilo-vida-dinero-fiestas-coches/

https://www.wired.com/story/alleged-russian-hacker-evil-corp-indicted/

Evil Corp’s WastedLocker Demanding Millions of Dollars for Decryption

 

 

 

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies