Evil Corp: Mély merülés a világ egyik leghírhedtebb hackercsoportjába

2019 -ben az Egyesült Államok Igazságügyi Minisztériuma vádat emelt Makszim Jakubets orosz állampolgár ellen, és 5 millió dollár jutalmat ajánlott fel a letartóztatásához vezető információkért.

Senki nem állt elő olyan információval, amely lehetővé tenné az amerikai hatóságok számára, hogy elfogják a megfoghatatlan és titokzatos Jakubeteket. Még mindig szabadlábon van, mint az Evil Corp vezetője - minden idők egyik leghírhedtebb és legsikeresebb hackercsoportja.

A 2009 óta tevékenykedő Evil Corp - más néven Dridex banda vagy INDRIK SPIDER - tartós támadásba lendült vállalati szervezetek, bankok és pénzügyi intézmények szerte a világon, több száz millió dollárt lopva folyamat.

Nézzük meg, mennyire veszélyes ez a csoport.

Az Evolution of Evil Corp

Az Evil Corp módszerei jelentősen megváltoztak az évek során, mivel egy tipikus, anyagilag motivált fekete kalapos hacker csoportból fokozatosan kivételesen kifinomult számítógépes bűnözési ruhává fejlődött.

Amikor az Igazságügyi Minisztérium 2019 -ben vádat emelt a Yakubets ellen, a

Amerikai PénzügyminisztériumA Külföldi Vagyonfelügyeleti Hivatal (OFAC) szankciókat vezetett be az Evil Corp. ellen. Mivel a szankciók minden olyan társaságra is vonatkoznak, amely váltságdíjat fizet az Evil Corp -nak vagy megkönnyíti a fizetést, a csoportnak alkalmazkodnia kellett.

Az Evil Corp a rosszindulatú programok hatalmas arzenálját használta a szervezetek célzására. A következő szakaszok a leghírhedtebbeket fogják megvizsgálni.

Dridex

Bugat és Cridex néven is ismert Dridexet először 2011 -ben fedezték fel. A klasszikus banki trójai, amely sok hasonlóságot mutat a hírhedt Zeusszal, a Dridexet banki információk ellopására tervezték, és általában e -mailben telepítik.

A Dridex segítségével az Evil Corp -nak több mint 100 millió dollárt sikerült ellopnia több mint 40 ország pénzügyi intézményeitől. A rosszindulatú program folyamatosan frissül új funkciókkal, és továbbra is aktív fenyegetés világszerte.

Zárva

A Locky az adathalász e -mailek rosszindulatú mellékletein keresztül fertőzi meg a hálózatokat. A melléklet, egy Microsoft Word dokumentum, makró vírusokat tartalmaz. Amikor az áldozat megnyitja a dokumentumot, amely nem olvasható, megjelenik egy párbeszédpanel a következő mondattal: "Engedélyezze a makrót, ha az adatkódolás helytelen".

Ez az egyszerű social engineering technika általában becsapja az áldozatot a makrók engedélyezésébe, amelyek bináris fájlként mennek és futnak. A bináris fájl automatikusan letölti a titkosító trójai programot, amely lezárja az eszközön lévő fájlokat, és a váltságdíjat igénylő webhelyre irányítja a felhasználót.

Bart

Bartot rendszerint fényképként telepítik adathalász e -mailekben. Szkenneli az eszközön lévő fájlokat, és bizonyos kiterjesztéseket keres (zene, videók, fényképek stb.), És zárolja azokat jelszóval védett ZIP-archívumokban.

Miután az áldozat megpróbálja kicsomagolni a ZIP archívumot, váltságdíj -feliratot kap (angolul, Németül, franciául, olaszul vagy spanyolul, a helytől függően), és azt mondták, hogy nyújtson be váltságdíjat Bitcoin.

Jaff

Amikor először telepítették, a Jaff ransomware a radar alá repült, mert mind a kiberbiztonsági szakértők, mind a sajtó a WannaCry -re összpontosított. Ez azonban nem jelenti azt, hogy nem veszélyes.

A Lockyhoz hasonlóan Jaff e -mail mellékletként érkezik - általában PDF dokumentumként. Miután az áldozat megnyitja a dokumentumot, megjelenik egy előugró ablak, amely megkérdezi, hogy meg akarják-e nyitni a fájlt. Ezt követően a makrók végrehajtódnak, bináris fájlként futnak, és titkosítják az eszközön lévő fájlokat.

BitPaymer

Az Evil Corp hírhedten használta a BitPaymer ransomware -t az Egyesült Királyság kórházainak célzására 2017 -ben. A nagy szervezetek célzására kifejlesztett BitPaymer-t általában nyers erőszakos támadásokkal szállítják, és magas váltságdíjat igényel.

Összefüggő:Mik azok a brutális erővel végrehajtott támadások? Hogyan védje meg magát

A BitPaymer újabb iterációi hamis Flash és Chrome frissítések révén terjedtek. Miután hozzáfér a hálózathoz, ez a zsarolóvírus több titkosítási algoritmus segítségével zárolja a fájlokat, és váltságdíjat hagy.

WastedLocker

Miután a pénzügyminisztérium szankcionálta, az Evil Corp a radar alá került. De nem sokáig; a csoport 2020 -ban újra megjelent egy új, összetett rangadó programmal, WastedLocker néven.

A WastedLocker általában hamis böngészőfrissítésekben terjed, gyakran jogos webhelyeken - például híroldalakon -.

Amint az áldozat letölti a hamis frissítést, a WastedLocker a hálózat más gépeire költözik, és kiváltsági fokozást végez (jogosulatlan hozzáférést szerez a biztonsági rések kihasználásával).

A végrehajtás után a WastedLocker gyakorlatilag minden fájlt titkosít, amelyhez hozzáfér, és átnevezi őket tartalmazza az áldozat nevét a „pazarolt” kifejezéssel együtt, és 500 000–10 USD közötti váltságdíjat követel millió.

Hádész

A 2020 decemberében először felfedezett Evil Corp's Hades ransomware a WastedLocker frissített változata.

A jogos hitelesítő adatok megszerzése után a rendszer virtuális magánhálózat (VPN) vagy távoli asztali protokoll (RDP) beállításain keresztül beszivárog a rendszerekbe, általában nyers erőszakos támadásokon keresztül.

Amikor az áldozat gépére száll, Hades megismétli önmagát, és újraindítja a parancssort. Ezután elindul egy futtatható fájl, amely lehetővé teszi a rosszindulatú program számára, hogy átvizsgálja a rendszert és titkosítsa a fájlokat. A rosszindulatú program ezután váltságdíjat hagy, és arra utasítja az áldozatot, hogy telepítse a Tor -t, és látogasson el egy webcímre.

Nevezetesen, a Hades levelek webcímeket minden célhoz testre szabják. Úgy tűnik, hogy a Hades kizárólag olyan szervezeteket céloz meg, amelyek éves bevétele meghaladja az 1 milliárd dollárt.

PayloadBIN

Úgy tűnik, hogy az Evil Corp a Babuk hackercsoportot adja ki, és telepíti a PayloadBIN ransomware -t.

ÖSSZEFÜGGŐ: Mi az a Babuk Locker? A Ransomware Gang, amit tudnia kell

Az 2021 -ben észlelt PayloadBIN titkosítja a fájlokat, és új kiterjesztésként hozzáadja a ".PAYLOADBIN" fájlt, majd váltságdíjat küld.

Feltételezett kapcsolatok az orosz hírszerzéssel

A biztonsági tanácsadó cég Truesecaz Evil Corp-t érintő ransomware-események elemzése során kiderült, hogy a csoport hasonló technikákat alkalmazott az orosz kormány által támogatott hackerek a pusztító A SolarWinds támad 2020 -ban.

A kutatók megállapították, hogy bár az Evil Corp rendkívül tehetséges, meglehetősen közömbös volt a váltságdíjak kifizetése terén. Lehet, hogy a csoport zsarolóvírus -támadásokat alkalmaz figyelemelterelési taktikaként, hogy elrejtse valódi célját: a számítógépes kémkedést?

Truesec szerint a bizonyítékok azt sugallják, hogy az Evil Corp "zsoldos kémszervezetgé alakult" az orosz hírszerzés által, de egy kiberbűnözési gyűrű homlokzata mögé bújva, elmosva a bűnözés és a kémkedés."

A Jakubets állítólag szoros kapcsolatban áll a Szövetségi Biztonsági Szolgálattal (FSB) - a Szovjetunió KGB -jének legfőbb utódszervezetével. Állítólag 2017 nyarán vette feleségül Eduard Bendersky FSB magas rangú tiszt lányát.

Hol csap le a Gonosz Corp?

Az Evil Corp kifinomult csoporttá nőtte ki magát, amely képes kiemelt támadásokat végrehajtani a főbb intézmények ellen. Amint ez a cikk kiemeli, tagjai bebizonyították, hogy képesek alkalmazkodni a különböző nehézségekhez - még veszélyesebbé téve őket.

Bár senki sem tudja, hol fog ütni legközelebb, a csoport sikere kiemeli annak fontosságát, hogy védje magát online, és ne kattintson a gyanús linkekre.

Az 5 leghírhedtebb szervezett számítógépes bűnöző banda

A számítógépes bűnözés mindannyiunkat kihívást jelent. A megelőzéshez oktatás szükséges, ezért itt az ideje, hogy megismerkedjünk a legrosszabb számítógépes bűnözéssel foglalkozó csoportokkal.

Olvassa tovább

A szerzőről