Payloadbin

Überblick

PayloadBIN ist ein Ransomware-Stamm, der der Gruppe Evil Corp zugeschrieben wird. Es handelt sich nicht um eine eigenständige Bande, sondern um eine weitere Umbenennung innerhalb einer ganzen Reihe von Vorgängern, zu der die Schadprogramme WastedLocker, Hades und Phoenix gehören. Mit jeder dieser Neuausrichtungen verfolgt Evil Corp denselben Zweck: die eigene Urheberschaft zu verschleiern und sich der Zuordnung zu entziehen. Im Fall von PayloadBIN geschieht dies, indem die Gruppe sich als Neuausrichtung der nicht verwandten Babuk-Bande ausgibt und so eine fremde Identität vortäuscht. Hintergrund dieser Tarnung sind die gegen Evil Corp verhängten Sanktionen der US-amerikanischen Finanzbehörde OFAC. Da Zahlungen an eine sanktionierte Gruppe rechtlich heikel sind, soll die vorgetäuschte fremde Herkunft die Hemmschwelle für Lösegeldzahlungen senken und die Sanktionen unterlaufen. PayloadBIN steht damit beispielhaft für die Strategie von Evil Corp, durch fortlaufende Umbenennungen und falsche Zuschreibungen einer Identifizierung zu entgehen.