I 2019 anklagede USA's justitsministerium anklager mod den russiske statsborger Maksim Yakubets og tilbød en belønning på $ 5 millioner for oplysninger, der førte til hans anholdelse.

Ingen er kommet frem med oplysninger, der ville gøre det muligt for amerikanske myndigheder at fange de undvigende og mystiske Yakubets hidtil. Han er stadig på fri fod som leder af Evil Corp - en af ​​de mest berygtede og succesrige hackergrupper nogensinde.

Aktiv siden 2009 har Evil Corp - også kendt som Dridex -banden eller INDRIK SPIDER - satset et vedvarende angreb på virksomhedsenheder, banker og finansielle institutioner rundt om i verden, og stjæler hundredvis af millioner af dollars i behandle.

Lad os se på, hvor farlig denne gruppe er.

Evolution of Evil Corp.

Evil Corp's metoder har ændret sig betydeligt gennem årene, da det gradvist udviklede sig fra en typisk, økonomisk motiveret sort hat -hackergruppe til et usædvanligt sofistikeret cyberkrimi -outfit.

Da justitsministeriet anklagede Yakubets i 2019, blev

instagram viewer
Det amerikanske finansministerium's Office of Foreign Assets Control (OFAC) udstedte sanktioner mod Evil Corp. Da sanktionerne også gælder for ethvert selskab, der betaler en løsesum til Evil Corp eller letter en betaling, har gruppen været nødt til at tilpasse sig.

Evil Corp har brugt et stort arsenal af malware til at målrette organisationer. De følgende afsnit vil se på de mest berygtede.

Dridex

Også kendt som Bugat og Cridex, blev Dridex først opdaget i 2011. En klassisk banktrojan, der deler mange ligheder med den berygtede Zeus, Dridex er designet til at stjæle bankoplysninger og distribueres typisk via e -mail.

Ved hjælp af Dridex har Evil Corp formået at stjæle mere end $ 100 millioner fra finansielle institutioner i over 40 lande. Malwaren opdateres konstant med nye funktioner og er fortsat en aktiv trussel globalt.

Locky

Locky inficerer netværk via ondsindede vedhæftede filer i phishing -e -mails. Vedhæftet fil, et Microsoft Word -dokument, indeholder makrovira. Når offeret åbner dokumentet, som ikke kan læses, vises en dialogboks med sætningen: "Aktiver makro, hvis datakodning er forkert".

Denne enkle socialtekniske teknik lurer normalt offeret til at aktivere makroerne, som gemmer og kører som en binær fil. Den binære fil downloader automatisk krypteringen Trojan, som låser filer på enheden og leder brugeren til et websted, der kræver en løsesum.

Bart

Bart bruges normalt som et foto via phishing -e -mails. Det scanner filer på en enhed på udkig efter bestemte udvidelser (musik, videoer, fotos osv.) Og låser dem i adgangskodebeskyttede ZIP-arkiver.

Når offeret forsøger at pakke ZIP -arkivet ud, får de en løsesum (på engelsk, Tysk, fransk, italiensk eller spansk, afhængigt af placeringen) og bedt om at sende en løsesum ind Bitcoin.

Jaff

Da Jaff ransomware blev implementeret første gang, fløj den under radaren, fordi både cybersikkerhedseksperter og pressen fokuserede på WannaCry. Det betyder dog ikke, at det ikke er farligt.

Ligesom Locky ankommer Jaff som en vedhæftet fil i e -mail - normalt som et PDF -dokument. Når offeret åbner dokumentet, ser de en pop-up, der spørger, om de vil åbne filen. Når de gør det, udfører makroer, køres som en binær fil og krypterer filer på enheden.

BitPaymer

Evil Corp brugte berygtet BitPaymer ransomware til at målrette mod hospitaler i Storbritannien i 2017. BitPaymer er udviklet til at målrette mod større organisationer og leveres typisk via brutale kraftangreb og kræver høje løsesumbetalinger.

Relaterede:Hvad er brutal kraftangreb? Sådan beskytter du dig selv

Nyere iterationer af BitPaymer er cirkuleret gennem falske Flash- og Chrome -opdateringer. Når den får adgang til et netværk, låser denne ransomware filer ved hjælp af flere krypteringsalgoritmer og efterlader en løsesum.

WastedLocker

Efter at være blevet sanktioneret af finansministeriet, gik Evil Corp under radaren. Men ikke for længe; gruppen reemerged i 2020 med ny, kompleks ransomware kaldet WastedLocker.

WastedLocker cirkulerer normalt i falske browseropdateringer, der ofte vises på legitime websteder - f.eks. Nyhedswebsteder.

Når offeret har downloadet den falske opdatering, flytter WastedLocker til andre maskiner på netværket og udfører eskalering af privilegier (opnår uautoriseret adgang ved at udnytte sikkerhedsrisici).

Efter udførelse krypterer WastedLocker stort set alle filer, den har adgang til og omdøber dem til omfatte offerets navn sammen med "spildt" og kræver en løsesum mellem $ 500.000 og $ 10 million.

Hades

Evil Corp's Hades ransomware blev først opdaget i december 2020 og ser ud til at være en opdateret version af WastedLocker.

Efter at have opnået legitime legitimationsoplysninger, infiltrerer det systemer via Virtual Private Network (VPN) eller Remote Desktop Protocol (RDP) opsætninger, normalt via brute-force-angreb.

Ved landing på et ofres maskine replikerer Hades sig selv og genstarter gennem kommandolinjen. En eksekverbar fil starter derefter, så malware kan scanne systemet og kryptere filer. Malwaren efterlader derefter en løsesum, der pålægger offeret at installere Tor og besøge en webadresse.

Navnlig er webadresser Hades blade tilpasset til hvert mål. Hades ser ud til udelukkende at have målrettede organisationer med en årlig omsætning på over $ 1 mia.

NyttelastBIN

Evil Corp ser ud til at efterligne Babuk -hackergruppen og implementere PayloadBIN -ransomware.

RELATEREDE: Hvad er Babuk Locker? Ransomware -banden, du bør vide om

Først opdaget i 2021 krypterer PayloadBIN filer og tilføjer ".PAYLOADBIN" som en ny udvidelse og leverer derefter en løsesum.

Mistænkte bånd til russisk efterretningstjeneste

Sikkerhedskonsulentfirmaet Truesec's analyse af ransomware-hændelser, der involverede Evil Corp, afslørede, at gruppen har brugt lignende teknikker, som russiske statsstøttede hackere brugte til at udføre de ødelæggende SolarWinds angreb i 2020.

Selvom Evil Corp var yderst dygtig, har det været temmelig nonchalant med hensyn til udtrækning af løsepenge, fandt forskerne. Kan det være, at gruppen anvender ransomware -angreb som en distraktionstaktik for at skjule sit sande mål: cyberspionage?

Ifølge Truesec tyder beviser på, at Evil Corp har "forvandlet sig til en lejesoldatspionageorganisation kontrolleret af russisk efterretningstjeneste, men gemmer sig bag facaden af ​​en cyberkriminalitet og slører grænserne mellem kriminalitet og spionage."

Yakubets siges at have tætte bånd til Federal Security Service (FSB) - det vigtigste efterfølgerbureau for Sovjetunionens KGB. Han blev angiveligt gift med højtstående FSB-officer Eduard Benderskys datter i sommeren 2017.

Hvor vil Evil Corp slå til næste gang?

Evil Corp er vokset til en sofistikeret gruppe, der er i stand til at udføre højt profilerede angreb på større institutioner. Som denne artikel fremhæver, har dens medlemmer bevist, at de kan tilpasse sig forskellige modsætninger - hvilket gør dem endnu mere farlige.

Selvom ingen ved, hvor de vil slå til, fremhæver gruppens succes vigtigheden af ​​at beskytte dig selv online og ikke klikke på mistænkelige links.

DelTweetE -mail
De 5 mest berygtede organiserede cyberkriminalitetsbander

Cyberkriminalitet er en trussel, der udfordrer os alle. Forebyggelse kræver uddannelse, så det er tid til at lære om de værste cyberkriminalitetsgrupper.

Læs Næste

Relaterede emner
  • Sikkerhed
  • Hacking
  • Online sikkerhed
  • Sikkerhed
Om forfatteren
Damir Mujezinovic (4 artikler udgivet)

Damir er freelance skribent og reporter, hvis arbejde fokuserer på cybersikkerhed. Uden for at skrive, nyder han at læse, musik og film.

Mere fra Damir Mujezinovic

Abonner på vores nyhedsbrev

Tilmeld dig vores nyhedsbrev for at få tekniske tips, anmeldelser, gratis e -bøger og eksklusive tilbud!

Klik her for at abonnere