Evil Corp: Дълбоко гмуркане в една от най -известните хакерски групи в света

През 2019 г. Министерството на правосъдието на САЩ повдигна обвинения срещу руския гражданин Максим Якубец, предлагайки награда от 5 милиона долара за информация, довела до ареста му.

Никой не е предоставил информация, която да позволи на американските власти да заловят неуловимите и мистериозни Якубети досега. Той все още е на свобода като лидер на Evil Corp - една от най -известните и успешни хакерски групи за всички времена.

Активен от 2009 г., Evil Corp - известен също като бандата Dridex или INDRIK SPIDER - залага на продължително нападение срещу корпоративни предприятия, банки и финансови институции по целия свят, откраднали стотици милиони долари в процес.

Нека да разгледаме колко опасна е тази група.

Еволюцията на злото Corp

Методите на Evil Corp са се променили значително през годините, тъй като постепенно еволюира от типична, финансово мотивирана хакерска група с черна шапка до изключително сложна екипировка за киберпрестъпления.

Когато Министерството на правосъдието повдигна обвинение срещу Якубец през 2019 г.,

Министерство на финансите на САЩСлужбата за контрол на чуждестранните активи (OFAC) издаде санкции срещу Evil Corp. Тъй като санкциите се отнасят и за всяка компания, която плаща откуп на Evil Corp или улеснява плащането, групата трябваше да се адаптира.

Evil Corp използва огромен арсенал от зловреден софтуер за насочване към организации. Следващите раздели ще разгледат най -известните.

Дридекс

Известен също като Bugat и Cridex, Dridex е открит за първи път през 2011 г. Класически банков троянец, който споделя много прилики със скандалния Зевс, Dridex е проектиран да краде банкова информация и обикновено се използва чрез имейл.

Използвайки Dridex, Evil Corp успя да открадне над 100 милиона долара от финансови институции в над 40 държави. Зловредният софтуер непрекъснато се актуализира с нови функции и остава активна заплаха в световен мащаб.

Локи

Локи заразява мрежите чрез злонамерени прикачени файлове във фишинг имейли. Прикаченият файл, документ на Microsoft Word, съдържа макро вируси. Когато жертвата отваря документа, който не може да се чете, се появява диалогов прозорец с фразата: „Активиране на макроса, ако кодирането на данни е неправилно“.

Тази проста техника на социално инженерство обикновено подвежда жертвата да активира макросите, които запазват и изпълняват като двоичен файл. Двоичният файл автоматично изтегля троянския код за криптиране, който заключва файловете на устройството и насочва потребителя към уебсайт, изискващ плащане на откуп.

Барт

Барт обикновено се използва като снимка чрез фишинг имейли. Той сканира файлове на устройство, търсейки определени разширения (музика, видео, снимки и т.н.) и ги заключва в ZIP архиви, защитени с парола.

След като жертвата се опита да разопакова ZIP архива, тя получава бележка за откуп (на английски език, Немски, френски, италиански или испански, в зависимост от местоположението) и им е казано да внесат откуп в Биткойн.

Джаф

При първото си разгръщане софтуерът за откупуване Jaff полетя под радара, тъй като както експертите по киберсигурност, така и пресата се фокусираха върху WannaCry. Това обаче не означава, че не е опасно.

Подобно на Локи, Джаф пристига като прикачен файл към имейл - обикновено като PDF документ. След като жертвата отвори документа, тя вижда изскачащ прозорец с въпрос дали иска да отвори файла. След като го направят, макросите се изпълняват, изпълняват като двоичен файл и шифроват файловете на устройството.

BitPaymer

Evil Corp скандално използва откупващия софтуер BitPaymer за насочване към болници във Великобритания през 2017 г. Разработен за насочване към големи организации, BitPaymer обикновено се доставя чрез атаки с груба сила и изисква високи откупни плащания.

Свързани:Какво представляват атаките с груба сила? Как да се защитите

По -новите итерации на BitPaymer са разпространени чрез фалшиви актуализации на Flash и Chrome. След като получи достъп до мрежа, този откупващ софтуер заключва файлове с помощта на множество алгоритми за криптиране и оставя бележка за откуп.

WastedLocker

След като беше санкциониран от Министерството на финансите, Evil Corp премина под радара. Но не за дълго; групата се появи отново през 2020 г. с нов, сложен откупващ софтуер, наречен WastedLocker.

WastedLocker обикновено се разпространява в фалшиви актуализации на браузъра, често показвани на легитимни уебсайтове - като новинарски сайтове.

След като жертвата изтегли фалшивата актуализация, WastedLocker се премества на други машини в мрежата и извършва ескалация на привилегии (получава неоторизиран достъп чрез използване на уязвимости в сигурността).

След изпълнение WastedLocker шифрова практически всички файлове, до които има достъп, и ги преименува включва името на жертвата заедно с „пропиляно“ и изисква откуп между 500 000 и 10 долара милион.

Хадес

За първи път открит през декември 2020 г., рансъмуерът на Evil Corp Hades изглежда е актуализирана версия на WastedLocker.

След получаване на законни идентификационни данни, той прониква в системите чрез настройки за виртуална частна мрежа (VPN) или протокол за отдалечен работен плот (RDP), обикновено чрез атаки с груба сила.

При кацане на машината на жертвата, Хадес се репликира и стартира отново през командния ред. След това се стартира изпълним файл, който позволява на зловредния софтуер да сканира системата и да шифрова файлове. След това зловредният софтуер оставя бележка за откуп, насочвайки жертвата да инсталира Tor и да посети уеб адрес.

По -специално, уеб адресите листата на Хадес са персонализирани за всяка цел. Изглежда, че Hades има изключително целеви организации с годишни приходи над 1 милиард долара.

PayloadBIN

Evil Corp изглежда се представя за хакерската група Babuk и внедрява откупващия софтуер PayloadBIN.

СВЪРЗАНИ: Какво е Babuk Locker? Бандата срещу Ransomware, за която трябва да знаете

За първи път забелязан през 2021 г., PayloadBIN криптира файлове и добавя „.PAYLOADBIN“ като ново разширение, а след това доставя бележка за откуп.

Предполагаеми връзки с руското разузнаване

Консултантската компания по сигурността TruesecАнализът на инциденти с ransomware, включващи Evil Corp, разкри, че групата е използвала подобни техники, подкрепяни от руското правителство, за извършване на опустошителните Атака на SolarWinds през 2020 г.

Въпреки че е изключително способна, Evil Corp е доста безгрижна при извличането на плащания за откуп, установиха изследователите. Възможно ли е групата да използва атаки срещу ransomware като тактика за разсейване, за да скрие истинската си цел: кибершпионаж?

Според Truesec доказателствата сочат, че Evil Corp се е „превърнала в наемна шпионска организация, контролирана от руското разузнаване, но се крие зад фасадата на киберпрестъпление, размивайки границите между престъпността и шпионаж “.

Твърди се, че Якубец има тесни връзки с Федералната служба за сигурност (ФСБ) - основната агенция -наследница на КГБ на Съветския съюз. Според съобщенията той се оженил за дъщерята на високопоставен служител на ФСБ Едуард Бендерски през лятото на 2017 г.

Къде по -нататък ще удари Evil Corp?

Evil Corp прерасна в сложна група, способна да извършва високопрофилни атаки срещу големи институции. Както се подчертава в тази статия, членовете й са доказали, че могат да се адаптират към различни неблагополучия - което ги прави още по -опасни.

Въпреки че никой не знае къде ще удари следващия, успехът на групата подчертава важността да се защитите онлайн и да не кликвате върху подозрителни връзки.

5 -те най -известни организирани банди за киберпрестъпления

Киберпрестъпността е заплаха, която предизвиква всички нас. Превенцията изисква образование, така че е време да научите за най -лошите групи за киберпрестъпления.

Прочетете Напред

За автора