I 2019 anklaget det amerikanske justisdepartementet den russiske statsborgeren Maksim Yakubets og ga en belønning på 5 millioner dollar for informasjon som førte til arrestasjonen.

Ingen har kommet med informasjon som vil tillate amerikanske myndigheter å fange de unnvikende og mystiske Yakubets så langt. Han er fortsatt på fri fot, som leder for Evil Corp - en av de mest beryktede og vellykkede hackergruppene gjennom tidene.

Aktiv siden 2009 har Evil Corp - også kjent som Dridex -gjengen eller INDRIK SPIDER - satset et vedvarende angrep på bedriftsenheter, banker og finansinstitusjoner rundt om i verden, og stjeler hundrevis av millioner dollar i prosess.

La oss se på hvor farlig denne gruppen er.

The Evolution of Evil Corp.

Evil Corps metoder har endret seg betydelig gjennom årene, ettersom de gradvis utviklet seg fra en typisk, økonomisk motivert black hat -hackergruppe til et usedvanlig sofistikert nettkriminalitet.

Da justisdepartementet tiltalte Yakubets i 2019, Det amerikanske finansdepartementet

instagram viewer
Office of Foreign Assets Control (OFAC) utstedte sanksjoner mot Evil Corp. Siden sanksjonene også gjelder for ethvert selskap som betaler løsepenger til Evil Corp eller letter en betaling, har gruppen måttet tilpasse seg.

Evil Corp har brukt et stort arsenal av skadelig programvare for å målrette mot organisasjoner. De følgende avsnittene vil se på de mest beryktede.

Dridex

Også kjent som Bugat og Cridex, ble Dridex først oppdaget i 2011. En klassisk banktrojan som deler mange likheter med den beryktede Zeus, Dridex er designet for å stjele bankinformasjon og distribueres vanligvis via e -post.

Ved å bruke Dridex har Evil Corp klart å stjele mer enn 100 millioner dollar fra finansinstitusjoner i over 40 land. Skadelig programvare oppdateres stadig med nye funksjoner og er fortsatt en aktiv trussel globalt.

Locky

Locky infiserer nettverk via ondsinnede vedlegg i phishing -e -post. Vedlegget, et Microsoft Word -dokument, inneholder makrovirus. Når offeret åpner dokumentet, som ikke er lesbart, vises en dialogboks med uttrykket: "Aktiver makro hvis datakoding er feil".

Denne enkle sosialtekniske teknikken lurer vanligvis offeret til å aktivere makroene, som lagrer og kjøres som en binær fil. Den binære filen laster automatisk ned krypteringen Trojan, som låser filer på enheten og leder brukeren til et nettsted som krever løsepenger.

Bart

Bart distribueres vanligvis som et foto via phishing -e -post. Den skanner filer på en enhet på jakt etter bestemte utvidelser (musikk, videoer, bilder, etc.) og låser dem i passordbeskyttede ZIP-arkiver.

Når offeret prøver å pakke ut ZIP -arkivet, får de et løsesum (på engelsk, Tysk, fransk, italiensk eller spansk, avhengig av beliggenhet) og ble bedt om å sende inn en løsepenger Bitcoin.

Jaff

Da Jaff ransomware ble distribuert første gang, fløy den under radaren fordi både cybersikkerhetseksperter og pressen fokuserte på WannaCry. Det betyr imidlertid ikke at det ikke er farlig.

I likhet med Locky kommer Jaff som et e -postvedlegg - vanligvis som et PDF -dokument. Når offeret åpner dokumentet, ser de en pop-up som spør om de vil åpne filen. Når de gjør det, kjører, makroer, kjører som en binær fil og krypterer filer på enheten.

BitPaymer

Evil Corp brukte beryktet BitPaymer ransomware for å målrette mot sykehus i Storbritannia i 2017. BitPaymer er utviklet for å målrette mot store organisasjoner, og leveres vanligvis via angrep med brutal kraft og krever høye løsepenger.

I slekt:Hva er brutal kraftangrep? Hvordan beskytte deg selv

Nyere iterasjoner av BitPaymer har sirkulert gjennom falske Flash- og Chrome -oppdateringer. Når den får tilgang til et nettverk, låser denne ransomware filer ved hjelp av flere krypteringsalgoritmer og etterlater et løsesum.

WastedLocker

Etter å ha blitt sanksjonert av finansdepartementet, gikk Evil Corp under radaren. Men ikke lenge; gruppen reemerged i 2020 med ny, kompleks ransomware kalt WastedLocker.

WastedLocker sirkulerer vanligvis i falske nettleseroppdateringer, ofte vist på legitime nettsteder - for eksempel nyhetsnettsteder.

Når offeret har lastet ned den falske oppdateringen, flytter WastedLocker til andre maskiner på nettverket og utfører opptrapping av privilegier (oppnår uautorisert tilgang ved å utnytte sikkerhetsproblemer).

Etter utførelse krypterer WastedLocker praktisk talt alle filer den har tilgang til og gir dem nytt navn inkludere offerets navn sammen med "bortkastet", og krever en løsepenger mellom $ 500 000 og $ 10 million.

Hades

Evil Corp's Hades ransomware ble først oppdaget i desember 2020, og ser ut til å være en oppdatert versjon av WastedLocker.

Etter å ha oppnådd legitime legitimasjon, infiltrerer den systemer gjennom Virtual Private Network (VPN) eller Remote Desktop Protocol (RDP) -oppsett, vanligvis via brute-force-angrep.

Ved landing på offerets maskin replikerer Hades seg selv og starter på nytt gjennom kommandolinjen. Deretter starter en kjørbar, slik at skadelig programvare kan skanne systemet og kryptere filer. Den skadelige programvaren etterlater deretter en løsepenger, som ber offeret om å installere Tor og besøke en webadresse.

Spesielt er webadresser Hades bladene tilpasset for hvert mål. Hades ser ut til å ha utelukkende målrettede organisasjoner med årlige inntekter på over 1 milliard dollar.

NyttelastBIN

Evil Corp ser ut til å etterligne Babuk -hackergruppen og distribuere PayloadBIN -ransomware.

I SLEKT: Hva er Babuk Locker? Ransomware -gjengen du bør vite om

Først oppdaget i 2021, krypterer PayloadBIN filer og legger til ".PAYLOADBIN" som en ny utvidelse, og leverer deretter et løsesum.

Mistenkte bånd til russisk etterretning

Sikkerhetskonsulentselskapet TruesecAnalysen av ransomware-hendelser som involverte Evil Corp avslørte at gruppen har brukt lignende teknikker som russiske statsstøttede hackere brukte for å utføre de ødeleggende SolarWinds angriper i 2020.

Selv om Evil Corp er ekstremt dyktig, har det vært ganske nonchalant om å trekke ut løsepenger, fant forskerne. Kan det være at gruppen bruker ransomware -angrep som en distraksjonstaktikk for å skjule sitt sanne mål: cyberspionasje?

I følge Truesec tyder bevis på at Evil Corp har "forvandlet seg til en leiesoldat -spionasjeorganisasjon kontrollert av russisk etterretning, men gjemmer seg bak fasaden til en cyberkriminalitetsring, og utvisker grensene mellom kriminalitet og spionasje."

Det sies at Yakubets har nære bånd til Federal Security Service (FSB) - det viktigste etterfølgerbyrået til Sovjetunionens KGB. Han skal ha giftet seg med en høytstående FSB-offiser Eduard Benderskys datter sommeren 2017.

Hvor vil Evil Corp slå til neste gang?

Evil Corp har vokst til en sofistikert gruppe som er i stand til å utføre høyprofilerte angrep på store institusjoner. Som denne artikkelen fremhever, har medlemmene vist at de kan tilpasse seg forskjellige motganger - noe som gjør dem enda farligere.

Selv om ingen vet hvor de vil slå til, fremhever gruppens suksess viktigheten av å beskytte deg selv online og ikke klikke på mistenkelige lenker.

DelekvitringE -post
De 5 mest beryktede organiserte nettkriminalitetene

Nettkriminalitet er en trussel som utfordrer oss alle. Forebygging krever utdannelse, så det er på tide å lære om de verste cyberkriminalitetsgruppene.

Les neste

Relaterte temaer
  • Sikkerhet
  • Hacking
  • Online sikkerhet
  • Sikkerhet
Om forfatteren
Damir Mujezinovic (4 artikler publisert)

Damir er en frilansskribent og reporter hvis arbeid fokuserer på cybersikkerhet. Utenfor å skrive liker han å lese, musikk og film.

Mer fra Damir Mujezinovic

Abonner på vårt nyhetsbrev

Bli med i vårt nyhetsbrev for tekniske tips, anmeldelser, gratis ebøker og eksklusive tilbud!

Klikk her for å abonnere