据Bleeping Computer网站披露，黑客组织Evil Corp为摆脱美国制裁，在近日推出名为Macaw Locker的新型勒索软件。

黑客组织Evil Corp，业界又称其Indrik Spider 和 Dridex 团伙，自2007年以来一直参与网络犯罪活动，但一直都是作为其他黑客组织的附属。随着时间的推移，该组织不断壮大后，开始通过在网络钓鱼攻击中创建和分发一种名为Dridex的银行木马，独立实施网络自己的攻击行为。

黑客组织Evil Corp 起源于2007年

随着勒索软件攻击变得越来越有利可图，Evil Corp发起了一项名为 BitPaymer 的操作，该操作通过 Dridex 恶意软件传送到受感染的公司网络，之后进行勒索行为，这样的犯罪活动最终导致他们在2019年受到美国政府的制裁。

为了绕过美国的制裁，Evil Corp开始以 WastedLocker、Hades、Phenoix Locker 和 PayloadBin 等各种名称创建有限使用的勒索软件操作。

但是业界普遍认为DoppelPaymer也是该组织勒索软件家族的成员，但没有直接的证据表明这样的说法。

Macaw Locker两次攻击行为

十月份， 奥林巴斯和辛克莱广播集团的运营受到周末勒索软件攻击的严重干扰，研究人员发现这两次攻击都是由一种名为 Macaw Locker 的新型勒索软件发起的。其中一次勒索事件中，攻击者要求450比特币（2800万美元赎金），另一次攻击要求支付4000 万美元赎金，目前尚不清楚每个赎金要求与哪家公司相关。

Emsisoft首席技术官 Fabian Wosar 称，根据研究人员对代码分析，Macaw Locker 是 Evil Corp 勒索软件系列的最新品牌。

Macaw Locker勒索软件在进行攻击时，会加密受害者的文件并在文件名后附加 .macaw扩展名。在加密文件时，该勒索软件还将在每个文件夹中创建名为macaw_recover.txt的赎金笔记。每次攻击，赎金笔记包含Macaw Locker的Tor网站上一个独特的受害者谈判页面和一个相关的解密ID，或活动ID，，如下所示。

Macaw Locker 赎金记录

该团伙的暗网谈判网站，包含对受害者遭遇的简要介绍，一个免费解密三个文件的工具，以及一个与攻击者谈判的聊天框。

Macaw Locker Tor 付款谈判网站

现在已经确定Macaw Locker是Evil Corp的一个变种，后续我们很可能会看到攻击者再次重新命名他们的勒索软件。

在 Evil Corp 停止执行勒索软件攻击或取消制裁之前，这种持续不断的猫捉老鼠游戏可能永远不会结束，然而，这两种情况都不太可能在不久的将来发生。

参考文章：

https://www.bleepingcomputer.com/news/security/evil-corp-demands-40-million-in-new-macaw-ransomware-attacks/