År 2019 väckte USA: s justitieministerium åtal mot den ryska medborgaren Maksim Yakubets och erbjöd en belöning på 5 miljoner dollar för information som ledde till hans gripande.

Ingen har kommit fram med information som skulle göra det möjligt för amerikanska myndigheter att fånga de svårfångade och mystiska Yakubets hittills. Han är fortfarande på fri fot, som ledare för Evil Corp - en av de mest ökända och framgångsrika hackergrupperna genom tiderna.

Aktiv sedan 2009 har Evil Corp - även känt som Dridex -gänget eller INDRIK SPIDER - satsat ett bestående angrepp mot företag, banker och finansinstitut runt om i världen, stjäl hundratals miljoner dollar i bearbeta.

Låt oss ta en titt på hur farlig denna grupp är.

Evolution of Evil Corp.

Evil Corps metoder har förändrats avsevärt under åren, eftersom det gradvis utvecklats från en typisk, ekonomiskt motiverad black hat -hackergrupp till en exceptionellt sofistikerad cyberbrottsdräkt.

När justitieministeriet anklagade Yakubets 2019,

instagram viewer
USA: s finansdepartementOffice of Foreign Assets Control (OFAC) utfärdade sanktioner mot Evil Corp. Eftersom sanktionerna också gäller för alla företag som betalar lösen till Evil Corp eller underlättar en betalning, har gruppen fått anpassa sig.

Evil Corp har använt en stor arsenal av skadlig kod för att rikta organisationer. Följande avsnitt kommer att titta på de mest ökända.

Dridex

Dridex, även känt som Bugat och Cridex, upptäcktes först 2011. En klassisk banktrojan som delar många likheter med den ökända Zeus, Dridex är utformad för att stjäla bankinformation och distribueras vanligtvis via e -post.

Med Dridex har Evil Corp lyckats stjäla mer än 100 miljoner dollar från finansinstitut i över 40 länder. Skadlig programvara uppdateras ständigt med nya funktioner och är fortfarande ett aktivt hot globalt.

Locky

Locky infekterar nätverk via skadliga bilagor i nätfiske -mejl. Bilagan, ett Microsoft Word -dokument, innehåller makrovirus. När offret öppnar dokumentet, som inte är läsbart, visas en dialogruta med frasen: "Aktivera makro om datakodning är felaktig".

Denna enkla socialtekniska teknik lurar vanligtvis offret till att möjliggöra makron, som sparar och körs som en binär fil. Den binära filen hämtar automatiskt krypteringen Trojan, som låser filer på enheten och leder användaren till en webbplats som kräver en lösenbetalning.

Bart

Bart distribueras vanligtvis som ett foto via phishing -mejl. Den skannar filer på en enhet och letar efter vissa tillägg (musik, videor, foton, etc.) och låser dem i lösenordsskyddade ZIP-arkiv.

När offret försöker packa upp ZIP -arkivet får de en lösenbrev (på engelska, Tyska, franska, italienska eller spanska, beroende på plats) och uppmanas att skicka in en lösenbetalning Bitcoin.

Jaff

Första gången Jaff ransomware flög under radarn eftersom både cybersäkerhetsexperter och pressen fokuserade på WannaCry. Det betyder dock inte att det inte är farligt.

Ungefär som Locky kommer Jaff som en bilaga till e -post - vanligtvis som ett PDF -dokument. När offret öppnar dokumentet ser de en popup som frågar om de vill öppna filen. När de gör det körs makron, körs som en binär fil och krypterar filer på enheten.

BitPaymer

Evil Corp använde ökänt ransomware BitPaymer för att rikta in sig på sjukhus i Storbritannien 2017. BitPaymer är utvecklat för att rikta in sig på stora organisationer och levereras vanligtvis via brutala kraftattacker och kräver höga lösenbetalningar.

Relaterad:Vad är brutal kraftattacker? Hur man skyddar sig själv

Nyare iterationer av BitPaymer har spridits genom falska Flash- och Chrome -uppdateringar. När den får åtkomst till ett nätverk, låser denna ransomware filer med flera krypteringsalgoritmer och lämnar en lösenanteckning.

WastedLocker

Efter att ha blivit sanktionerad av finansdepartementet gick Evil Corp under radarn. Men inte länge; gruppen återupptogs 2020 med ny, komplex ransomware som heter WastedLocker.

WastedLocker cirkulerar vanligtvis i falska webbläsaruppdateringar, som ofta visas på legitima webbplatser - till exempel nyhetssajter.

När offret har laddat ner den falska uppdateringen, flyttar WastedLocker till andra datorer i nätverket och utför eskalering av privilegier (får obehörig åtkomst genom att utnyttja säkerhetsproblem).

Efter körningen krypterar WastedLocker praktiskt taget alla filer den kan komma åt och byter namn på dem till inkludera offrets namn tillsammans med "bortkastat" och kräver en lösenbetalning mellan $ 500 000 och $ 10 miljon.

Hades

Upptäcktes först i december 2020, Evil Corp's Hades ransomware verkar vara en uppdaterad version av WastedLocker.

Efter att ha erhållit legitima uppgifter infiltrerar det system via virtuella privata nätverk (VPN) eller fjärrskrivbordsprotokoll (RDP), vanligtvis via brute-force-attacker.

Vid landning på ett offrens maskin replikerar Hades sig själv och startar om via kommandoraden. En körbar startas sedan, så att skadlig programvara kan skanna systemet och kryptera filer. Skadlig programvara lämnar sedan en lösenanteckning, som leder offret att installera Tor och besöka en webbadress.

I synnerhet är webbadresser Hades blad anpassade för varje mål. Hades verkar uteslutande ha riktade organisationer med årliga intäkter över $ 1 miljard.

NyttolastBIN

Evil Corp verkar utge sig för Babuk -hackergruppen och distribuera PayloadBIN -ransomware.

RELATERAD: Vad är Babuk Locker? Ransomware -gänget du borde veta om

Först upptäcktes 2021 krypterar PayloadBIN filer och lägger till ".PAYLOADBIN" som en ny tillägg och levererar sedan en lösenbrev.

Misstänkta band till rysk underrättelse

Säkerhetskonsultföretaget TruesecAnalys av ransomware-incidenter som involverade Evil Corp avslöjade att gruppen har använt liknande tekniker som ryska regeringstödda hackare använde för att utföra de förödande SolarWinds attack år 2020.

Även om den är extremt kapabel har Evil Corp varit ganska nonchalant när det gäller att extrahera lösenbetalningar, fann forskarna. Kan det vara så att gruppen använder ransomware -attacker som en distraktionstaktik för att dölja sitt sanna mål: cyberspionage?

Enligt Truesec tyder bevis på att Evil Corp har "förvandlats till en kontrollerad legospionageorganisation av rysk intelligens men gömmer sig bakom fasaden på en cyberbrottsring och suddar ut gränserna mellan brott och spionage."

Yakubets sägs ha nära band till Federal Security Service (FSB) - den viktigaste efterföljande byrån för Sovjetunionens KGB. Han gifte sig enligt uppgift med högt uppsatta FSB-tjänstemannen Eduard Benderskys dotter sommaren 2017.

Var kommer Evil Corp slå till härnäst?

Evil Corp har vuxit till en sofistikerad grupp som kan genomföra högprofilerade attacker mot stora institutioner. Som denna artikel lyfter fram har dess medlemmar bevisat att de kan anpassa sig till olika motgångar - vilket gör dem ännu farligare.

Även om ingen vet var de ska slå nästa, framhäver gruppens framgångar vikten av att skydda dig själv online och inte klicka på misstänkta länkar.

Dela med sigTweetE-post
De fem mest ökända organiserade cyberbrottsgängen

Cyberkriminalitet är ett hot som utmanar oss alla. Förebyggande kräver utbildning, så det är dags att lära sig om de värsta cyberbrottsgrupperna.

Läs Nästa

Relaterade ämnen
  • säkerhet
  • Dataintrång
  • Online säkerhet
  • säkerhet
Om författaren
Damir Mujezinovic (4 artiklar publicerade)

Damir är frilansande författare och reporter vars arbete fokuserar på cybersäkerhet. Utanför skrivandet tycker han om att läsa, musik och film.

Mer från Damir Mujezinovic

Prenumerera på vårt nyhetsbrev

Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!

Klicka här för att prenumerera