Evil Corp: Hlboký ponor do jednej z najznámejších hackerských skupín na svete

V roku 2019 ministerstvo spravodlivosti Spojených štátov vznieslo obvinenie proti ruskému štátnemu príslušníkovi Maksimovi Jakubetovi a ponúklo odmenu vo výške 5 miliónov dolárov za informácie vedúce k jeho zatknutiu.

Nikto neprišiel s informáciami, ktoré by americkým úradom umožnili doposiaľ zachytiť nepolapiteľný a tajomný Jakubet. Stále je na slobode, ako vodca Evil Corp - jednej z najznámejších a najúspešnejších hackerských skupín všetkých čias.

Spoločnosť Evil Corp, známa aj ako gang Dridex alebo INDRIK SPIDER, aktívna od roku 2009, stavila na trvalý útok na právnických osôb, bánk a finančných inštitúcií na celom svete, ktorí v nich ukradli stovky miliónov dolárov proces.

Pozrime sa, aká nebezpečná je táto skupina.

The Evolution of Evil Corp

Metódy Evil Corp sa za tie roky značne zmenili, pretože sa postupne vyvíjali z typickej, finančne motivovanej skupiny hackerov black hat na mimoriadne sofistikované oblečenie pre počítačovú kriminalitu.

Keď ministerstvo spravodlivosti v roku 2019 obvinilo Yakubetsa,

Americké ministerstvo financiíÚrad pre kontrolu zahraničných aktív (OFAC) vydal sankcie voči spoločnosti Evil Corp. Keďže sankcie platia aj pre každú spoločnosť, ktorá zaplatí výkupné spoločnosti Evil Corp alebo uľahčí platbu, skupina sa tomu musí prispôsobiť.

Spoločnosť Evil Corp použila na zacielenie organizácií rozsiahly arzenál malvéru. Nasledujúce časti sa zamerajú na tie najznámejšie.

Dridex

Dridex, známy tiež ako Bugat a Cridex, bol prvýkrát objavený v roku 2011. Dridex je klasický bankový trójsky kôň, ktorý má mnoho podobností s neslávne známym Zeusom a je navrhnutý tak, aby ukradol bankové informácie a zvyčajne sa používa prostredníctvom e -mailu.

Pomocou Dridexu sa spoločnosti Evil Corp podarilo ukradnúť viac ako 100 miliónov dolárov finančným inštitúciám vo viac ako 40 krajinách. Malvér je neustále aktualizovaný o nové funkcie a zostáva aktívnou hrozbou na celom svete.

Locky

Locky infikuje siete prostredníctvom škodlivých príloh vo phishingových e -mailoch. Príloha, dokument programu Microsoft Word, obsahuje makrovírusy. Keď obeť otvorí dokument, ktorý nie je čitateľný, zobrazí sa dialógové okno s frázou: „Povoliť makro, ak je kódovanie údajov nesprávne“.

Táto jednoduchá technika sociálneho inžinierstva zvyčajne oklame obeť, aby povolila makrá, ktoré sa uložia a spustia ako binárny súbor. Binárny súbor automaticky stiahne šifrovací trójsky kôň, ktorý uzamkne súbory v zariadení a presmeruje používateľa na webovú stránku požadujúcu výkupné.

Bart

Bart je zvyčajne nasadený ako fotografia prostredníctvom phishingových e -mailov. Naskenuje súbory v zariadení a hľadá určité rozšírenia (hudba, videá, fotografie atď.) A uzamkne ich v archívoch ZIP chránených heslom.

Akonáhle sa obeť pokúsi rozbaliť ZIP archív, bude jej predložená poznámka o výkupnom (v angličtine, Nemecký, francúzsky, taliansky alebo španielsky, v závislosti od miesta) a vyzývame vás, aby ste v r Bitcoin.

Jaff

Pri prvom nasadení ransomware Jaff letel pod radarom, pretože experti na kybernetickú bezpečnosť aj tlač sa zamerali na WannaCry. To však neznamená, že nie je nebezpečný.

Rovnako ako Locky, Jaff prichádza ako príloha k e -mailu - zvyčajne ako dokument PDF. Akonáhle obeť otvorí dokument, zobrazí sa vyskakovacie okno s otázkou, či chce súbor otvoriť. Hneď ako to urobia, makrá sa spustia, spustia ako binárny súbor a zašifrujú súbory v zariadení.

BitPaymer

Spoločnosť Evil Corp v roku 2017 neslávne použila ransomware BitPaymer na zacielenie na nemocnice vo Veľkej Británii. BitPaymer bol vyvinutý pre zacielenie na hlavné organizácie a obvykle sa dodáva pomocou útokov hrubou silou a vyžaduje vysoké výkupné.

Súvisiace:Čo sú útoky hrubou silou? Ako sa chrániť

Novšie iterácie BitPaymeru kolovali prostredníctvom falošných aktualizácií Flash a Chrome. Akonáhle tento ransomware získa prístup k sieti, uzamkne súbory pomocou viacerých šifrovacích algoritmov a zanechá výkupné.

WastedLocker

Potom, čo bol Evil Corp sankcionovaný ministerstvom financií, prešiel pod radar. Ale nie dlho; skupina sa znova spojila v roku 2020 s novým, komplexným ransomvérom s názvom WastedLocker.

WastedLocker zvyčajne koluje vo falošných aktualizáciách prehliadača, ktoré sa často zobrazujú na legitímnych webových stránkach - napríklad na spravodajských serveroch.

Akonáhle si obeť stiahne falošnú aktualizáciu, WastedLocker sa presunie na iné počítače v sieti a vykoná eskaláciu práv (získa neoprávnený prístup využitím zraniteľností zabezpečenia).

Po spustení WastedLocker zašifruje prakticky všetky súbory, ku ktorým má prístup, a premenuje ich zahrňte meno obete spolu s výrazom „zbytočný“ a požaduje výkupné od 500 000 do 10 dolárov milión.

Hádes

Ransomware Evil Corp's Hades, ktorý bol prvýkrát objavený v decembri 2020, sa zdá byť aktualizovanou verziou WastedLocker.

Po získaní legitímnych poverení preniká do systémov prostredníctvom nastavení Virtual Private Network (VPN) alebo Remote Desktop Protocol (RDP), zvyčajne pomocou útokov hrubou silou.

Po pristátí na stroji obete sa Hades replikuje a znova sa spustí cez príkazový riadok. Potom sa spustí spustiteľný súbor, ktorý malwaru umožní skenovať systém a šifrovať súbory. Malvér potom zanechá výkupné a nasmeruje obeť, aby si nainštalovala Tor a navštívila webovú adresu.

Pre každý cieľ sú prispôsobené predovšetkým webové adresy, ktoré Hades zanecháva. Zdá sa, že Hades má výlučne zacielené organizácie s ročnými príjmami presahujúcimi 1 miliardu dolárov.

PayloadBIN

Zdá sa, že zlo sa vydáva za hackerskú skupinu Babuk a nasadzuje ransomware PayloadBIN.

SÚVISIACE: Čo je to Babuk Locker? Gang Ransomware, o ktorom by ste mali vedieť

Služba PayloadBIN, ktorá sa prvýkrát objavila v roku 2021, šifruje súbory a pridá ako nové rozšírenie „.PAYLOADBIN“ a potom poskytne výkupné.

Podozrivé prepojenie na ruskú rozviedku

Poradenská spoločnosť v oblasti bezpečnosti TruesecAnalýza incidentov ransomwaru zahŕňajúcich spoločnosť Evil Corp odhalila, že skupina použila podobné techniky, aké ruskí vládou podporovaní hackeri použili na zničujúce Útok SolarWinds v roku 2020.

Vedci zistili, že napriek tomu, že je spoločnosť Evil Corp mimoriadne schopná, nebola pri vyberaní výkupného dosť zdržanlivá. Mohlo by to byť tak, že skupina používa útoky ransomwaru ako rušivú taktiku na skrytie svojho skutočného cieľa: kybernetickej špionáže?

Podľa Truesca dôkazy naznačujú, že Evil Corp sa „zmenila na žoldniersku špionážnu organizáciu kontrolovanú podľa ruskej rozviedky, ale skrýva sa za fasádou kruhu počítačovej kriminality a stiera hranice medzi zločinom a špionáž. "

Yakubets má údajne úzke väzby s Federálnou bezpečnostnou službou (FSB) - hlavnou nástupníckou agentúrou KGB Sovietskeho zväzu. V lete 2017 sa údajne oženil s dcérou dôstojníka FSB Eduarda Benderského.

Kde bude Evil Corp zasiahnuť ďalej?

Evil Corp sa rozrástla do sofistikovanej skupiny, ktorá je schopná vykonávať významné útoky na hlavné inštitúcie. Ako tento článok zdôrazňuje, jeho členovia dokázali, že sa dokážu prispôsobiť rôznym protivenstvám - čím sú ešte nebezpečnejšie.

Hoci nikto nevie, kde udrú najbližšie, úspech skupiny zdôrazňuje dôležitosť ochrany online a neklikania na podozrivé odkazy.

5 najznámejších organizovaných gangov proti počítačovej kriminalite

Počítačová kriminalita je hrozbou, s ktorou sa stretávame všetci. Prevencia si vyžaduje vzdelanie, a preto je načase zoznámiť sa s najhoršími skupinami počítačovej kriminality.

Čítajte ďalej

O autorovi