Leta 2019 je ameriško pravosodno ministrstvo vložilo obtožbo proti ruskemu državljanu Maksimu Yakubcu in ponudilo nagrado v višini 5 milijonov dolarjev za informacije, ki so vodile do njegove aretacije.

Nihče se ni oglasil z informacijami, ki bi ameriškim oblastem omogočile zajem nedostopnih in skrivnostnih Yakubetov. Še vedno je na prostosti kot vodja Evil Corp - ene najbolj razvpitih in uspešnih hekerskih skupin vseh časov.

Evil Corp - znan tudi kot tolpa Dridex ali INDRIK SPIDER -, ki deluje že od leta 2009, je nenehno napadal korporativnih subjektov, bank in finančnih institucij po vsem svetu, ki so ukradli več sto milijonov dolarjev proces.

Poglejmo, kako nevarna je ta skupina.

Evolucija zla Corp

Metode Evil Corpa so se z leti precej spremenile, saj se je postopoma razvila iz tipične, finančno motivirane skupine hekerjev črnih klobukov v izjemno prefinjeno obleko za kibernetski kriminal.

Ko je pravosodno ministrstvo leta 2019 obtožilo Yakubetsa, je Ministrstvo za finance ZDAUrad za nadzor tujega premoženja (OFAC) je izrekel sankcije proti Evil Corp. Ker sankcije veljajo tudi za vsako podjetje, ki plača odkupnino družbi Evil Corp ali olajša plačilo, se je morala skupina prilagoditi.

instagram viewer

Evil Corp je za ciljanje organizacij uporabil obsežen arzenal zlonamerne programske opreme. V naslednjih razdelkih bodo obravnavani najbolj razvpiti.

Dridex

Dridex, znan tudi kot Bugat in Cridex, je bil prvič odkrit leta 2011. Klasičen bančni trojanec, ki si deli veliko podobnosti z zloglasnim Zeusom, je Dridex zasnovan za krajo bančnih podatkov in se običajno uporablja prek e -pošte.

Evil Corp je z uporabo Dridexa uspel ukrasti več kot 100 milijonov dolarjev finančnim institucijam v več kot 40 državah. Zlonamerna programska oprema se nenehno posodablja z novimi funkcijami in ostaja aktivna globalna grožnja.

Locky

Locky okuži omrežja prek zlonamernih prilog v e -poštnih sporočilih z lažnim predstavljanjem. Priloga, dokument Microsoft Word, vsebuje makro viruse. Ko žrtev odpre dokument, ki ni berljiv, se prikaže pogovorno okno z besedilom: "Omogoči makro, če kodiranje podatkov ni pravilno".

Ta preprosta tehnika družabnega inženiringa običajno oškoduje žrtev, da omogoči makre, ki shranijo in delujejo kot binarna datoteka. Binarna datoteka samodejno prenese šifrirni trojan, ki zaklene datoteke v napravi in ​​uporabnika usmeri na spletno mesto, ki zahteva odkupnino.

Bart

Bart se običajno uporablja kot fotografija prek e -poštnih sporočil z lažnim predstavljanjem. Skenira datoteke v napravi in ​​išče določene razširitve (glasbo, videoposnetke, fotografije itd.) In jih zaklene v arhivu ZIP, zaščitenem z geslom.

Ko žrtev poskuša razpakirati arhiv ZIP, ji predloži odkupnino (v angleščini, Nemščini, francoščini, italijanščini ali španščini, odvisno od lokacije) in povedal, naj vplača odkupnino Bitcoin.

Jaff

Ob prvi uvedbi je odkupna programska oprema Jaff letela pod radar, ker so se tako strokovnjaki za kibernetsko varnost kot tisk osredotočili na WannaCry. Vendar to ne pomeni, da ni nevarno.

Podobno kot Locky, Jaff prispe kot priloga po e -pošti - običajno kot dokument PDF. Ko žrtev odpre dokument, se prikaže pojavno okno z vprašanjem, ali želi datoteko odpreti. Ko to storijo, se makri izvedejo, zaženejo kot binarno datoteko in šifrirajo datoteke v napravi.

BitPaymer

Evil Corp je leta 2017 zloglasno uporabil odkupno programsko opremo BitPaymer za ciljanje bolnišnic v Združenem kraljestvu. Razvit za ciljanje na velike organizacije, se BitPaymer običajno dobavlja z napadi z grobo silo in zahteva visoke odkupnine.

Povezano:Kaj so napadi brutalne sile? Kako se zaščititi

Novejše iteracije BitPaymerja so krožile skozi ponarejene posodobitve Flash in Chrome. Ko pridobi dostop do omrežja, ta odkupna programska oprema zaklene datoteke z uporabo več algoritmov šifriranja in pusti odkupno opombo.

WastedLocker

Potem ko ga je ministrstvo za finance odobrilo, je Evil Corp šel pod radar. Ampak ne za dolgo; skupina se je leta 2020 ponovno pojavila z novo, zapleteno odkupno programsko opremo, imenovano WastedLocker.

WastedLocker običajno kroži v ponarejenih posodobitvah brskalnika, pogosto prikazanih na zakonitih spletnih mestih, kot so spletna mesta z novicami.

Ko žrtev prenese ponarejeno posodobitev, se WastedLocker premakne na druge stroje v omrežju in izvede povečanje privilegijev (pridobi nepooblaščen dostop z izkoriščanjem varnostnih ranljivosti).

Po izvedbi WastedLocker šifrira skoraj vse datoteke, do katerih lahko dostopa, in jih preimenuje vključuje ime žrtve skupaj z "zapravljenim" in zahteva odkupnino med 500.000 in 10 USD milijonov.

Had

Prvič odkrita decembra 2020 je odkupna programska oprema Evil Corp's Hades posodobljena različica WastedLockerja.

Po pridobitvi zakonitih poverilnic se infiltrira v sisteme prek nastavitev navideznega zasebnega omrežja (VPN) ali protokola za oddaljeno namizje (RDP), običajno z napadi z grobo silo.

Ko pristane na žrtev stroju, se Hades ponovi in ​​znova zažene prek ukazne vrstice. Nato se zažene izvedljiva datoteka, ki zlonamerni programski opremi skenira sistem in šifrira datoteke. Zlonamerna programska oprema nato pusti odkupno sporočilo, ki žrtev usmeri, da namesti Tor in obišče spletni naslov.

Zlasti so spletni naslovi Hades listi prilagojeni za vsako tarčo. Zdi se, da ima Hades izključno ciljne organizacije z letnimi prihodki več kot milijardo dolarjev.

PayloadBIN

Zdi se, da se Evil Corp predstavlja kot hekerska skupina Babuk in uvaja odkupno programsko opremo PayloadBIN.

POVEZANE: Kaj je omarica Babuk? Banda Ransomware, o kateri bi morali vedeti

Prvič opažen leta 2021, PayloadBIN šifrira datoteke in doda ".PAYLOADBIN" kot novo razširitev, nato pa poda odkupno obvestilo.

Sumljive vezi z rusko obveščevalno službo

Podjetje za varnostno svetovanje TruesecAnaliza incidentov z odkupno programsko opremo, ki vključuje Evil Corp, je pokazala, da je skupina uporabila podobne tehnike, ki so jih ruski hekerji, ki jih podpira vlada, uporabili za izvajanje uničujočih napadov. Napad SolarWinds leta 2020.

Raziskovalci so ugotovili, da je Evil Corp, čeprav izjemno sposoben, precej brezskrben pri pridobivanju odkupnine. Je možno, da skupina uporablja napade odkupne programske opreme kot taktijo odvračanja pozornosti, da prikrije svoj pravi cilj: kibernetsko vohunjenje?

Truesec pravi, da dokazi kažejo, da se je Evil Corp "prelevil v plačljivo vohunsko organizacijo s strani ruske obveščevalne službe, vendar se skriva za fasado prstana kibernetskega kriminala in briše meje med kriminalom in vohunjenje. "

Yakubets naj bi bil tesno povezan z Zvezno varnostno službo (FSB) - glavno naslednico agencije KGB Sovjetske zveze. Poleti naj bi se poročil s hčerko visokega častnika FSB Eduarda Benderskega.

Kam bo naslednjič udaril Evil Corp?

Evil Corp je prerasel v prefinjeno skupino, ki je sposobna izvajati odmevne napade na velike institucije. Kot poudarja ta članek, so njegovi člani dokazali, da se lahko prilagodijo različnim težavam - zaradi česar so še bolj nevarni.

Čeprav nihče ne ve, kje bodo naslednjič udarili, uspeh skupine poudarja pomen zaščite na spletu in ne klikanja na sumljive povezave.

DelitiCvrkutatiE-naslov
5 najbolj zloglasnih organiziranih združb za kibernetski kriminal

Spletni kriminal je grožnja, ki izziva vse nas. Preprečevanje zahteva izobraževanje, zato je čas, da spoznate najhujše skupine kibernetskega kriminala.

Preberite Naprej

Sorodne teme
  • Varnost
  • Hekanje
  • Spletna varnost
  • Varnost
O avtorju
Damir Mujezinović (4 objavljeni članki)

Damir je samostojni pisatelj in poročevalec, katerega delo se osredotoča na kibernetsko varnost. Poleg pisanja uživa v branju, glasbi in filmu.

Več od Damirja Mujezinovica

Naročite se na naše novice

Pridružite se našemu glasilu za tehnične nasvete, ocene, brezplačne e -knjige in ekskluzivne ponudbe!

Kliknite tukaj, če se želite naročiti