Evil Corp: O scufundare profundă într-unul dintre cele mai notorii grupuri de hackeri din lume

În 2019, Departamentul de Justiție al Statelor Unite a depus acuzații împotriva naționalului rus Maksim Yakubets, oferind o recompensă de 5 milioane de dolari pentru informațiile care au condus la arestarea sa.

Nimeni nu a prezentat informații care să permită autorităților americane să captureze până acum misteriosul Yakubets. El este încă în libertate, în calitate de lider al Corpului Rău - unul dintre cele mai cunoscute și mai reușite grupuri de hackeri din toate timpurile.

Activ din 2009, Evil Corp - cunoscut și sub numele de bandă Dridex sau INDRIK SPIDER - a pariat un atac continuu asupra entități corporative, bănci și instituții financiare din întreaga lume, furând sute de milioane de dolari în proces.

Să aruncăm o privire cât de periculos este acest grup.

Evoluția răului Corp

Metodele Evil Corp s-au schimbat considerabil de-a lungul anilor, deoarece au evoluat treptat de la un grup tipic de hackeri de pălărie neagră, motivat financiar, la o ținută excepțional de sofisticată a criminalității informatice.

Când Departamentul de Justiție l-a acuzat pe Yakubets în 2019, Departamentul Trezoreriei SUABiroul de control al activelor străine (OFAC) a emis sancțiuni împotriva Evil Corp. Deoarece sancțiunile se aplică și oricărei companii care plătește o răscumpărare către Evil Corp sau care facilitează plata, grupul a trebuit să se adapteze.

Evil Corp a folosit un vast arsenal de programe malware pentru a viza organizațiile. Următoarele secțiuni vor analiza cele mai notorii.

Dridex

Cunoscut și sub numele de Bugat și Cridex, Dridex a fost descoperit pentru prima dată în 2011. Un troian bancar clasic care împărtășește multe asemănări cu infamul Zeus, Dridex este conceput pentru a fura informații bancare și este de obicei implementat prin e-mail.

Folosind Dridex, Evil Corp a reușit să fure peste 100 de milioane de dolari de la instituțiile financiare din peste 40 de țări. Programul malware este actualizat constant cu funcții noi și rămâne o amenințare activă la nivel global.

Locky

Locky infectează rețelele prin atașamente rău intenționate în e-mailurile de phishing. Atașamentul, un document Microsoft Word, conține viruși macro. Când victima deschide documentul, care nu poate fi citit, apare o casetă de dialog cu expresia: „Activați macrocomanda dacă codificarea datelor este incorectă”.

Această tehnică simplă de inginerie socială păcălește de obicei victima în activarea macro-urilor, care salvează și rulează ca fișier binar. Fișierul binar descarcă automat troianul de criptare, care blochează fișierele de pe dispozitiv și direcționează utilizatorul către un site web care solicită o plată de răscumpărare.

Bart

Bart este de obicei implementat ca fotografie prin e-mailuri de phishing. Scanează fișierele de pe un dispozitiv care caută anumite extensii (muzică, videoclipuri, fotografii etc.) și le blochează în arhive ZIP protejate prin parolă.

Odată ce victima încearcă să despacheteze arhiva ZIP, li se prezintă o notă de răscumpărare (în engleză, Germană, franceză, italiană sau spaniolă, în funcție de locație) și li sa spus să trimiteți o plată de răscumpărare în Bitcoin.

Jaff

Când a fost lansat pentru prima dată, ransomware-ul Jaff a zburat sub radar, deoarece atât experții în securitate cibernetică, cât și presa s-au concentrat pe WannaCry. Cu toate acestea, asta nu înseamnă că nu este periculos.

La fel ca Locky, Jaff ajunge ca atașament de e-mail - de obicei ca un document PDF. Odată ce victima deschide documentul, vede un pop-up care întreabă dacă vrea să deschidă fișierul. Odată ce au făcut-o, macrocomenzile se execută, rulează ca fișier binar și criptează fișierele de pe dispozitiv.

BitPaymer

În 2017, Evil Corp a folosit ransomware-ul BitPaymer pentru a viza spitalele din Marea Britanie. Dezvoltat pentru a viza organizații majore, BitPaymer este de obicei livrat prin atacuri cu forță brută și necesită plăți de răscumpărare ridicate.

Legate de:Ce sunt atacurile cu forță brută? Cum să te protejezi

Iterații mai recente ale BitPaymer au circulat prin actualizări Flash false și Chrome. Odată ce obține acces la o rețea, acest răscumpărare blochează fișierele utilizând mai mulți algoritmi de criptare și lasă o notă de răscumpărare.

WastedLocker

După ce a fost sancționat de Departamentul Trezoreriei, Evil Corp a intrat sub radar. Dar nu pentru mult timp; grupul a reapărut în 2020 cu un nou ransomware complex, numit WastedLocker.

WastedLocker circulă de obicei în actualizări false ale browserului, adesea afișate pe site-uri web legitime - cum ar fi site-uri de știri.

Odată ce victima descarcă actualizarea falsă, WastedLocker se mută pe alte mașini din rețea și efectuează escaladarea privilegiilor (obține acces neautorizat prin exploatarea vulnerabilităților de securitate).

După executare, WastedLocker criptează practic toate fișierele pe care le poate accesa și le redenumește include numele victimei împreună cu „risipit” și solicită o plată de răscumpărare între 500.000 și 10 USD milion.

Hades

Descoperit pentru prima dată în decembrie 2020, ransomware-ul Hades al Evil Corp pare a fi o versiune actualizată a WastedLocker.

După obținerea acreditării legitime, se infiltrează în sisteme prin intermediul rețelelor virtuale private (VPN) sau a configurărilor Remote Desktop Protocol (RDP), de obicei prin atacuri cu forță brută.

La aterizarea pe mașina victimei, Hades se replică și relansează prin linia de comandă. Apoi se lansează un executabil, permițând malware-ului să scaneze sistemul și să cripteze fișierele. Programul malware lasă apoi o notă de răscumpărare, îndrumând victima să instaleze Tor și să viziteze o adresă web.

În special, adresele web frunzele Hades sunt personalizate pentru fiecare țintă. Hades pare să fi vizat exclusiv organizații cu venituri anuale de peste 1 miliard de dolari.

PayloadBIN

Evil Corp pare să acopere grupul de hackeri Babuk și să implementeze ransomware-ul PayloadBIN.

LEGATE DE: Ce este Babuk Locker? Gangul Ransomware despre care ar trebui să știți

Văzut pentru prima dată în 2021, PayloadBIN criptează fișierele și adaugă „.PAYLOADBIN” ca o nouă extensie, apoi livrează o notă de răscumpărare.

Legături suspecte de informații rusești

Compania de consultanță în securitate TruesecAnaliza incidentelor de ransomware care implică Evil Corp a dezvăluit că grupul a folosit tehnici similare hackerii susținuți de guvernul rus folosite pentru a realiza devastatorul Atacul SolarWinds în 2020.

Cercetătorii au descoperit că, deși extrem de capabil, Evil Corp a fost destul de indiferent în ceea ce privește extragerea plăților de răscumpărare. Ar putea fi faptul că grupul folosește atacuri ransomware ca o tactică de distragere a atenției pentru a-și ascunde adevăratul obiectiv: spionajul cibernetic?

Potrivit lui Truesec, dovezile sugerează că Evil Corp s-a „transformat într-o organizație de spionaj mercenar controlată de către serviciile de informații rusești, dar ascunzându-se în spatele fațadei unui inel de criminalitate informatică, estompând liniile dintre criminalitate și spionaj."

Se spune că Yakubets are legături strânse cu Serviciul Federal de Securitate (FSB) - principala agenție succesoare a KGB-ului Uniunii Sovietice. În vara anului 2017, s-ar fi căsătorit cu fiica înaltului ofițer FSB, Eduard Bendersky.

Unde va grebi Evil Corp Next?

Evil Corp a devenit un grup sofisticat capabil să efectueze atacuri de înaltă calitate asupra instituțiilor majore. După cum subliniază acest articol, membrii săi au dovedit că se pot adapta la diferite adversități - făcându-i și mai periculoși.

Deși nimeni nu știe unde vor lovi, succesul grupului evidențiază importanța protejării dvs. online și a nu face clic pe linkuri suspecte.

Cele mai cunoscute 5 bande organizate de criminalitate informatică

Criminalitatea informatică este o amenințare care ne provoacă pe toți. Prevenirea necesită educație, așa că este timpul să aflăm despre cele mai grave grupuri de criminalitate informatică.

Citiți în continuare

Despre autor