V roce 2019 ministerstvo spravedlnosti Spojených států podalo obvinění proti ruskému státnímu příslušníkovi Maksimu Jakubetovi a nabídlo odměnu 5 milionů dolarů za informace vedoucí k jeho zatčení.

Nikdo nepřišel s informacemi, které by umožnily americkým úřadům doposud zachytit nepolapitelné a tajemné Yakubety. Stále je na svobodě, jako vůdce Evil Corp - jedné z nejznámějších a nejúspěšnějších hackerských skupin všech dob.

Společnost Evil Corp, známá také jako gang Dridex nebo INDRIK SPIDER, aktivní od roku 2009, vsadila na trvalý útok na právnických osob, bank a finančních institucí po celém světě, kteří v nich kradou stovky milionů dolarů proces.

Podívejme se, jak nebezpečná je tato skupina.

The Evolution of Evil Corp

Metody Evil Corp se v průběhu let značně změnily, protože se postupně vyvinuly z typické finančně motivované hackerské skupiny black hat do výjimečně sofistikovaného oblečení pro počítačovou kriminalitu.

Když ministerstvo spravedlnosti obvinilo Yakubets v roce 2019,

instagram viewer
Ministerstvo financí USAÚřad pro kontrolu zahraničních aktiv (OFAC) vydal sankce proti společnosti Evil Corp. Protože se sankce vztahují také na jakoukoli společnost, která zaplatí výkupné společnosti Evil Corp nebo usnadní platbu, skupina se musela přizpůsobit.

Společnost Evil Corp použila k cílení na organizace rozsáhlý arzenál malwaru. Následující části se podívají na ty nejznámější.

Dridex

Také známý jako Bugat a Cridex, Dridex byl poprvé objeven v roce 2011. Klasický bankovní trojan, který sdílí mnoho podobností s nechvalně známým Zeusem, je Dridex navržen tak, aby kradl bankovní informace a je obvykle nasazován prostřednictvím e -mailu.

Pomocí Dridexu se společnosti Evil Corp podařilo ukrást více než 100 milionů dolarů finančním institucím ve více než 40 zemích. Malware je neustále aktualizován o nové funkce a zůstává aktivní globální hrozbou.

Locky

Locky infikuje sítě pomocí škodlivých příloh ve phishingových e -mailech. Příloha, dokument Microsoft Word, obsahuje makro viry. Když oběť otevře dokument, který není čitelný, zobrazí se dialogové okno s frází: „Povolit makro, pokud je kódování dat nesprávné“.

Tato jednoduchá technika sociálního inženýrství obvykle přiměje oběť k povolení maker, která se ukládají a běží jako binární soubor. Binární soubor automaticky stáhne šifrovací trojský kůň, který uzamkne soubory v zařízení a přesměruje uživatele na web požadující výkupné.

Bart

Bart je obvykle nasazen jako fotka prostřednictvím phishingových e -mailů. Naskenuje soubory v zařízení a hledá určitá rozšíření (hudba, videa, fotografie atd.) A zamkne je do archivů ZIP chráněných heslem.

Jakmile se oběť pokusí rozbalit ZIP archiv, bude jí předána poznámka o výkupném (v angličtině, Německy, francouzsky, italsky nebo španělsky, v závislosti na místě) a vyzváni k odeslání výkupného v Bitcoin.

Jaff

Při prvním nasazení Jaff ransomware letěl pod radarem, protože jak odborníci na kybernetickou bezpečnost, tak tisk se zaměřili na WannaCry. To však neznamená, že není nebezpečný.

Stejně jako Locky, Jaff přichází jako příloha e -mailu - obvykle jako dokument PDF. Jakmile oběť otevře dokument, zobrazí se vyskakovací okno s dotazem, zda chce soubor otevřít. Jakmile to udělají, makra se spustí, běží jako binární soubor a šifrují soubory v zařízení.

BitPaymer

Společnost Evil Corp v roce 2017 nechvalně použila ransomware BitPaymer k cílení na nemocnice ve Velké Británii. BitPaymer, vyvinutý pro cílení na velké organizace, je obvykle dodáván prostřednictvím útoků hrubou silou a vyžaduje vysoké výkupné.

Příbuzný:Co jsou útoky hrubou silou? Jak se chránit

Novější iterace BitPaymeru kolovaly prostřednictvím falešných aktualizací Flash a Chrome. Jakmile získá ransomware přístup k síti, uzamkne soubory pomocí více šifrovacích algoritmů a zanechá výkupné.

WastedLocker

Poté, co byl Evil Corp schválen ministerstvem financí, šel pod radar. Ale ne na dlouho; skupina se v roce 2020 znovu spojila s novým, komplexním ransomwarem s názvem WastedLocker.

WastedLocker obvykle koluje ve falešných aktualizacích prohlížeče, často zobrazovaných na legitimních webech - například na zpravodajských webech.

Jakmile si oběť stáhne falešnou aktualizaci, WastedLocker se přesune na jiné počítače v síti a provede eskalaci oprávnění (získá neoprávněný přístup využitím zranitelností zabezpečení).

Po spuštění WastedLocker zašifruje prakticky všechny soubory, ke kterým má přístup, a přejmenuje je zahrňte jméno oběti spolu s „ztraceným“ a požaduje výkupné mezi 500 000 a 10 dolary milión.

Hádes

Ransomware Evil Corp's Hades, který byl poprvé objeven v prosinci 2020, se zdá být aktualizovanou verzí nástroje WastedLocker.

Po získání legitimních přihlašovacích údajů proniká do systémů prostřednictvím nastavení Virtual Private Network (VPN) nebo Remote Desktop Protocol (RDP), obvykle pomocí útoků hrubou silou.

Po přistání na stroj oběti se Hádes replikuje a znovu se spustí příkazovým řádkem. Poté se spustí spustitelný soubor, který malwaru umožní skenovat systém a šifrovat soubory. Malware poté zanechá výkupné a nasměruje oběť, aby nainstalovala Tor a navštívila webovou adresu.

Webové adresy Hadesových listů jsou přizpůsobeny pro každý cíl. Zdá se, že Hades má výhradně cílené organizace s ročními příjmy přesahujícími 1 miliardu dolarů.

PayloadBIN

Evil Corp se vydává za hackerskou skupinu Babuk a nasazuje ransomware PayloadBIN.

PŘÍBUZNÝ: Co je Babuk Locker? Gang ransomwaru, o kterém byste měli vědět

Poprvé spatřen v roce 2021, PayloadBIN šifruje soubory a přidává „.PAYLOADBIN“ jako nové rozšíření a poté přináší výkupné.

Podezřelé vazby na ruskou rozvědku

Bezpečnostní poradenská společnost TruesecAnalýza ransomwarových incidentů zahrnujících Evil Corp odhalila, že skupina použila podobné techniky, které použili ruští vládní hackeři k provedení ničivých Útok SolarWinds v roce 2020.

Ačkoli byli extrémně schopní, Evil Corp byl docela laskavý ohledně získávání výkupného, ​​zjistili vědci. Mohlo by se stát, že skupina nasadí útoky ransomwaru jako rušivou taktiku, aby skryla svůj skutečný cíl: kybernetickou špionáž?

Podle Truesec důkazy naznačují, že se Evil Corp „proměnila v žoldnéřskou špionážní organizaci ovládanou ruskou zpravodajskou službou, ale schovává se za fasádou kruhu počítačové kriminality a stírá hranice mezi zločinem a špionáž."

Jakubets má údajně úzké vazby na Federální bezpečnostní službu (FSB) - hlavní nástupnickou agenturu Sovětského svazu KGB. V létě 2017 se údajně oženil s dcerou vysoce postaveného důstojníka FSB Eduarda Benderského.

Kde udeří Evil Corp příště?

Evil Corp se rozrostla do sofistikované skupiny schopné provádět vysoce postavené útoky na hlavní instituce. Jak tento článek zdůrazňuje, jeho členové dokázali, že se dokážou přizpůsobit různým protivenstvím - což je činí ještě nebezpečnějšími.

Ačkoli nikdo neví, kam zasáhnou příště, úspěch skupiny zdůrazňuje, že je důležité chránit se online a neklikat na podezřelé odkazy.

PodíltweetE-mailem
5 nejznámějších organizovaných gangů proti počítačové kriminalitě

Kybernetická kriminalita je hrozbou, která je výzvou pro nás všechny. Prevence vyžaduje vzdělání, a proto je načase seznámit se s nejhoršími skupinami počítačové kriminality.

Číst dále

Související témata
  • Bezpečnostní
  • Hackování
  • Zabezpečení online
  • Bezpečnostní
O autorovi
Damir Mujezinovic (4 publikované články)

Damir je nezávislý spisovatel a reportér, jehož práce se zaměřuje na kybernetickou bezpečnost. Mimo psaní rád čte, hudbu a film.

Více od Damira Mujezinoviče

Přihlaste se k odběru našeho zpravodaje

Připojte se k našemu zpravodaji a získejte technické tipy, recenze, bezplatné elektronické knihy a exkluzivní nabídky!

Kliknutím sem se přihlásíte k odběru