Ministarstvo pravosuđa Sjedinjenih Država podnijelo je 2019. tužbu protiv ruskog državljanina Maksima Yakubeca, nudeći nagradu od 5 milijuna dolara za informacije koje su dovele do njegovog uhićenja.

Nitko nije došao s informacijama koje bi omogućile američkim vlastima da zauzmu dosad nedostižne i tajanstvene Yakubete. Još uvijek je na slobodi, kao vođa Evil Corp -a - jedne od najozloglašenijih i najuspješnijih hakerskih skupina svih vremena.

Aktivno od 2009., Evil Corp - poznato i kao banda Dridex ili INDRIK SPIDER - poduzimao je trajni napad na korporativnih subjekata, banaka i financijskih institucija diljem svijeta, ukrali stotine milijuna dolara u postupak.

Pogledajmo koliko je ova skupina opasna.

Evolucija zla Corp

Metode Evil Corpa znatno su se promijenile tijekom godina, postupno se razvijajući od tipične, financijski motivirane hakerske skupine za crne šešire do iznimno sofisticirane odjeće za kibernetički kriminal.

Kad je Ministarstvo pravosuđa podiglo optužnicu protiv Yakubetsa 2019

instagram viewer
Ministarstvo financija SAD -aUred za kontrolu inozemne imovine (OFAC) donio je sankcije protiv Evil Corp. Budući da se sankcije primjenjuju i na svaku tvrtku koja plaća otkupninu Evil Corp -u ili olakšava plaćanje, grupa se morala prilagoditi.

Evil Corp je koristio veliki arsenal zlonamjernog softvera za ciljanje organizacija. Sljedeći odjeljci će se osvrnuti na one najozloglašenije.

Dridex

Također poznat kao Bugat i Cridex, Dridex je prvi put otkriven 2011. Klasični bankovni trojanac koji dijeli mnoge sličnosti sa zloglasnim Zeusom, Dridex je dizajniran za krađu bankovnih podataka i obično se koristi putem e -pošte.

Koristeći Dridex, Evil Corp uspio je ukrasti više od 100 milijuna dolara od financijskih institucija u više od 40 zemalja. Zlonamjerni softver stalno se ažurira novim značajkama i ostaje globalno aktivna prijetnja.

Locky

Locky inficira mreže putem zlonamjernih privitaka u phishing e -porukama. Privitak, dokument Microsoft Word, sadrži makro viruse. Kad žrtva otvori dokument koji nije čitljiv, pojavit će se dijaloški okvir s izrazom: "Omogući makronaredbu ako kodiranje podataka nije ispravno".

Ova jednostavna tehnika društvenog inženjeringa obično prevari žrtvu u omogućavanju makronaredbi koje spremaju i izvode kao binarnu datoteku. Binarna datoteka automatski preuzima šifrirani trojanac, koji zaključava datoteke na uređaju i usmjerava korisnika na web mjesto zahtijevajući otkupninu.

Bart

Bart se obično postavlja kao fotografija putem e -pošte za krađu identiteta. Skenira datoteke na uređaju tražeći određena proširenja (glazbu, video zapise, fotografije itd.) I zaključava ih u ZIP arhivu zaštićenu lozinkom.

Nakon što žrtva pokuša raspakirati ZIP arhivu, dobiva se bilješka o otkupnini (na engleskom, Njemački, francuski, talijanski ili španjolski, ovisno o lokaciji) i rečeno je da podnesete otkupninu u Bitcoin.

Jaff

Prilikom prvog razmještanja, Jaffov ransomware proletio je ispod radara jer su se i stručnjaci za kibernetičku sigurnost i novinari usredotočili na WannaCry. Međutim, to ne znači da nije opasno.

Slično kao i Locky, Jaff stiže kao privitak e -pošte - obično kao PDF dokument. Nakon što žrtva otvori dokument, vidjet će skočni prozor s pitanjem želi li otvoriti datoteku. Kad to učine, makronaredbe se izvršavaju, izvode kao binarna datoteka i šifriraju datoteke na uređaju.

BitPaymer

Evil Corp je neslavno koristio BitPaymer ransomware za ciljanje bolnica u Velikoj Britaniji 2017. Razvijen za ciljanje velikih organizacija, BitPaymer se obično isporučuje napadima grube sile i zahtijeva velike otkupnine.

Povezano:Što su napadi grube sile? Kako se zaštititi

Novije iteracije BitPaymera kružile su lažnim ažuriranjima za Flash i Chrome. Nakon što dobije pristup mreži, ovaj ransomware zaključava datoteke pomoću više algoritama za šifriranje i ostavlja bilješku o otkupnini.

WastedLocker

Nakon što ga je Ministarstvo financija sankcioniralo, Evil Corp otišao je ispod radara. Ali ne zadugo; grupa se ponovno pojavila 2020. s novim, složenim ransomwareom pod nazivom WastedLocker.

WastedLocker obično cirkulira u lažnim ažuriranjima preglednika, često prikazanim na legitimnim web stranicama - poput web stranica s vijestima.

Nakon što žrtva preuzme lažno ažuriranje, WastedLocker se prebacuje na druge strojeve u mreži i vrši povećanje privilegija (dobiva neovlašteni pristup iskorištavanjem sigurnosnih propusta).

Nakon izvršenja, WastedLocker šifrira gotovo sve datoteke kojima može pristupiti i preimenuje ih u uključuju ime žrtve zajedno s "uzalud potrošenim" i zahtijeva otkupninu između 500.000 i 10 USD milijuna.

Had

Prvi put otkriven u prosincu 2020., čini se da je ransomware tvrtke Evil Corp's Hades ažurirana verzija WastedLockera.

Nakon dobivanja legitimnih vjerodajnica, infiltrira se u sustave putem postavki Virtual Private Network (VPN) ili Remote Desktop Protocol (RDP), obično napadima grube sile.

Nakon slijetanja na stroj žrtve, Hades se replicira i ponovo pokreće kroz naredbeni redak. Pokreće se izvršna datoteka koja dopušta zlonamjernom softveru da skenira sustav i šifrira datoteke. Zlonamjerni softver tada ostavlja bilješku o otkupnini, upućujući žrtvu da instalira Tor i posjeti web adresu.

Značajno je da su web adrese Hades listovi prilagođene svakom cilju. Čini se da Had ima isključivo ciljane organizacije s godišnjim prihodom većim od milijardu dolara.

PayloadBIN

Čini se da se Evil Corp lažno predstavlja kao hakerska skupina Babuk i primjenjuje otkupni softver PayloadBIN.

POVEZANE: Što je Babuk Locker? Banda otkupljivača o kojoj biste trebali znati

Prvi put primijećen 2021. godine, PayloadBIN šifrira datoteke i dodaje ".PAYLOADBIN" kao novo proširenje, a zatim dostavlja otkupnu poruku.

Sumnja se u vezu s ruskom obavještajnom službom

Tvrtka za sigurnosno savjetovanje TruesecAnaliza incidenata ransomwarea koji uključuju Evil Corp otkrila je da je skupina koristila slične tehnike koje su ruski hakeri koje podržava vlada koristili za izvođenje razarajućih napada Napad SolarWindsa 2020. godine.

Iako je izuzetno sposoban, Evil Corp je prilično nonšalantno izvlačio otkupnine, otkrili su istraživači. Je li moguće da grupa koristi napade ransomwarea kao taktiku odvraćanja pozornosti kako bi prikrila svoj pravi cilj: cyber špijunažu?

Prema Truesecu, dokazi ukazuju na to da se Evil Corp "pretvorio u plaćeničku špijunažu koju kontrolira od strane ruske obavještajne službe, ali skrivajući se iza fasade lanca kibernetičkog kriminala, brišući granice između kriminala i špijunaža."

Za Yakubetsa se kaže da je blisko povezan sa Federalnom službom sigurnosti (FSB) - glavnom agencijom nasljednicom KGB -a Sovjetskog Saveza. Navodno se oženio kćerkom visokog časnika FSB-a Eduarda Benderskyja u ljeto 2017. godine.

Gdje će Evil Corp sljedeći udariti?

Evil Corp izrastao je u sofisticiranu skupinu sposobnu izvoditi napade visokog profila na velike institucije. Kao što ovaj članak naglašava, njegovi članovi su dokazali da se mogu prilagoditi različitim nedaćama - čineći ih još opasnijim.

Iako nitko ne zna gdje će sljedeće udariti, uspjeh grupe naglašava važnost zaštite na internetu i ne klikanje na sumnjive veze.

UdioCvrkutE -pošta
5 najozloglašenijih organiziranih bandi kibernetičkog kriminala

Cyber ​​kriminal prijetnja je koja izaziva sve nas. Prevencija zahtijeva obrazovanje, pa je vrijeme da naučite o najgorim skupinama kibernetičkog kriminala.

Pročitajte Dalje

Povezane teme
  • Sigurnost
  • Hakiranje
  • Mrežna sigurnost
  • Sigurnost
O autoru
Damir Mujezinović (Objavljena 4 članka)

Damir je slobodni pisac i izvjestitelj čiji se rad fokusira na kibernetičku sigurnost. Osim pisanja, voli čitati, glazbu i film.

Više od Damira Mujezinovića

Pretplatite se na naše obavijesti

Pridružite se našem biltenu za tehničke savjete, recenzije, besplatne e -knjige i ekskluzivne ponude!

Kliknite ovdje za pretplatu