Az EvilCorp. néven emlegetett támadói csoport a Symantec és az NCC Group kutatói szerint több, mint 30 amerikai nagyvállalat ellen indítottak összetett és kifinomult támadásokat. Az érintett szervezetek között gyártóvállalatok, az energia- és vegyipari szektorok cégei mellet szállítmányozással foglalkozó szervezetek és az egészségügyi szektor egyes szervezetei is érintettek.

A támadás során egy kompromittált weboldalról töltik le a SocGholish keretrendszer egy ZIP fájlba tömörített változatát. Ez tartalmazza azt a rosszindulatú Javascriptet, ami Chrome böngésző frissítésnek álcázza magát. Egy második Javascript futtatásával indítják el a támadók a PowerShellt, amivel Cobalt Strike malware-t indítják el, ezen keresztül hajtva végre későbbi parancsokat és megfertőzve további rendszerfolyamatokat. Emellett a PsExec-et használva állítják le a megtámadott rendszereken futó Windows Defender példányokat. Amikor ezzel végeztek, indítják el a WastedLocker zsarolóvírust, ami titkosítja az áldozat adatait és törli a rendszerben létező mentéseket (shadow volume copy).

Bár a WastedLocker nem kifejezett ICS rendszereket támadó ransomware, de a 31 már ismert áldozat több, mint harmada köthető különböző ipari szektorokhoz, vagyis egyértelmű, hogy ez a ransomware és támadói csoport is komoly fenyegetést jelentenek az ipari szervezetekre és a Windows-alapú ICS rendszerekre.

A WastedLocker-ről eddig megismert részleteket a Symantec és az NCC Group publikációiban lehet megtalálni.