據Bleeping Computer網站披露，黑客組織Evil Corp為擺脫美國制裁，在近日推出名為Macaw Locker的新型勒索軟件。

[[430526]]

黑客組織Evil Corp，業界又稱其Indrik Spider 和 Dridex 團伙，自2007年以來一直參與網絡犯罪活動，但一直都是作為其他黑客組織的附屬。隨著時間的推移，該組織不斷壯大后，開始通過在網絡釣魚攻擊中創建和分發一種名為Dridex的銀行木馬，獨立實施網絡自己的攻擊行為。

黑客組織Evil Corp 起源于2007年

隨著勒索軟件攻擊變得越來越有利可圖，Evil Corp發起了一項名為 BitPaymer 的操作，該操作通過 Dridex 惡意軟件傳送到受感染的公司網絡，之后進行勒索行為，這樣的犯罪活動最終導致他們在2019年受到美國政府的制裁。

為了繞過美國的制裁，Evil Corp開始以 WastedLocker、Hades、Phenoix Locker 和 PayloadBin 等各種名稱創建有限使用的勒索軟件操作。

但是業界普遍認為DoppelPaymer也是該組織勒索軟件家族的成員，但沒有直接的證據表明這樣的說法。

Macaw Locker兩次攻擊行為

十月份， 奧林巴斯和辛克萊廣播集團的運營受到周末勒索軟件攻擊的嚴重干擾，研究人員發現這兩次攻擊都是由一種名為 Macaw Locker 的新型勒索軟件發起的。其中一次勒索事件中，攻擊者要求450比特幣(2800萬美元贖金)，另一次攻擊要求支付4000 萬美元贖金，目前尚不清楚每個贖金要求與哪家公司相關。

Emsisoft首席技術官 Fabian Wosar 稱，根據研究人員對代碼分析，Macaw Locker 是 Evil Corp 勒索軟件系列的最新品牌。

Macaw Locker勒索軟件在進行攻擊時，會加密受害者的文件并在文件名后附加 .macaw擴展名。在加密文件時，該勒索軟件還將在每個文件夾中創建名為macaw_recover.txt的贖金筆記。每次攻擊，贖金筆記包含Macaw Locker的Tor網站上一個獨特的受害者談判頁面和一個相關的解密ID，或活動ID，，如下所示。

Macaw Locker 贖金記錄

該團伙的暗網談判網站，包含對受害者遭遇的簡要介紹，一個免費解密三個文件的工具，以及一個與攻擊者談判的聊天框。

Macaw Locker Tor 付款談判網站

現在已經確定Macaw Locker是Evil Corp的一個變種，后續我們很可能會看到攻擊者再次重新命名他們的勒索軟件。

在 Evil Corp 停止執行勒索軟件攻擊或取消制裁之前，這種持續不斷的貓捉老鼠游戲可能永遠不會結束，然而，這兩種情況都不太可能在不久的將來發生。