Vuonna 2019 Yhdysvaltain oikeusministeriö syytti Venäjän kansalaista Maksim Yakubetsia ja tarjosi 5 miljoonan dollarin palkkion pidätykseen johtaneista tiedoista.
Kukaan ei ole toistaiseksi esittänyt tietoja, joiden avulla Yhdysvaltain viranomaiset voisivat kaapata vaikeasti ja salaperäiset Yakubetit toistaiseksi. Hän on edelleen vapaana Evil Corp: n johtajana, joka on yksi kaikkien aikojen tunnetuimmista ja menestyneimmistä hakkeriryhmistä.
Vuodesta 2009 lähtien toiminut Evil Corp - joka tunnetaan myös nimellä Dridex -jengi tai INDRIK SPIDER - on lyönyt jatkuvaa hyökkäystä yritykset, pankit ja rahoituslaitokset ympäri maailmaa varastavat satoja miljoonia dollareita käsitellä asiaa.
Katsotaanpa, kuinka vaarallinen tämä ryhmä on.
The Evolution of Evil Corp
Evil Corpin menetelmät ovat muuttuneet huomattavasti vuosien varrella, kun se on vähitellen kehittynyt tyypillisestä, taloudellisesti motivoituneesta mustan hatun hakkeriryhmästä poikkeuksellisen hienostuneeksi tietoverkkorikollisuudeksi.
Kun oikeusministeriö syytti Yakubetsia vuonna 2019 Yhdysvaltain valtiovarainministeriöUlkomaisten varojen valvontavirasto (OFAC) määräsi pakotteita Evil Corp. Koska pakotteet koskevat myös kaikkia yrityksiä, jotka maksavat lunnaita Evil Corp: lle tai helpottavat maksua, ryhmän on täytynyt sopeutua.
Evil Corp on käyttänyt laajaa haittaohjelmien arsenaalia organisaatioiden kohdentamiseen. Seuraavissa osioissa tarkastellaan tunnetuimpia.
Dridex
Tunnetaan myös nimellä Bugat ja Cridex, Dridex löydettiin ensimmäisen kerran vuonna 2011. Klassinen pankkitroijalainen, jolla on paljon yhtäläisyyksiä surullisen kuuluisan Zeuksen kanssa, Dridex on suunniteltu varastamaan pankkitietoja ja se lähetetään yleensä sähköpostitse.
Dridexin avulla Evil Corp on onnistunut varastamaan yli 100 miljoonaa dollaria rahoituslaitoksilta yli 40 maassa. Haittaohjelma päivitetään jatkuvasti uusilla ominaisuuksilla ja on edelleen aktiivinen uhka maailmanlaajuisesti.
Lukittu
Locky tartuttaa verkkoja tietojenkalastelusähköpostien haitallisten liitteiden kautta. Liite, Microsoft Word -asiakirja, sisältää makroviruksia. Kun uhri avaa asiakirjan, joka ei ole luettavissa, näyttöön tulee valintaikkuna, jossa on lause: "Ota makro käyttöön, jos tietojen koodaus on virheellinen".
Tämä yksinkertainen sosiaalisen tekniikan tekniikka huijaa uhrin yleensä ottamaan käyttöön makrot, jotka tallentavat ja toimivat binääritiedostona. Binaaritiedosto lataa automaattisesti salaus troijalaisen, joka lukitsee laitteen tiedostot ja ohjaa käyttäjän verkkosivulle, joka vaatii lunnaita.
Bart
Bartia käytetään yleensä valokuvana tietojenkalastelusähköpostien kautta. Se skannaa laitteessa olevat tiedostot ja etsii tiettyjä laajennuksia (musiikkia, videoita, valokuvia jne.) Ja lukitsee ne salasanalla suojattuihin ZIP-arkistoihin.
Kun uhri yrittää purkaa ZIP -arkiston, hän saa lunnaita (englanniksi, Saksaksi, ranskaksi, italiaksi tai espanjaksi sijainnin mukaan) ja heitä kehotettiin toimittamaan lunnaat Bitcoin.
Jaff
Ensimmäisen käyttöönoton yhteydessä Jaff -lunnasohjelma lensi tutkan alle, koska sekä kyberturvallisuusasiantuntijat että lehdistö keskittyivät WannaCryyn. Se ei kuitenkaan tarkoita, etteikö se olisi vaarallista.
Aivan kuten Locky, Jaff saapuu sähköpostin liitteenä - yleensä PDF -dokumenttina. Kun uhri avaa asiakirjan, he näkevät ponnahdusikkunan, jossa kysytään, haluavatko he avata tiedoston. Kun ne on suoritettu, makrot suorittavat, toimivat binaaritiedostona ja salaavat laitteen tiedostot.
BitPaymer
Evil Corp käytti pahamaineisesti BitPaymer -kiristysohjelmaa kohdistaakseen sairaaloihin Isossa -Britanniassa vuonna 2017. Suurille organisaatioille suunnattu BitPaymer toimitetaan tyypillisesti raa'an voiman hyökkäyksillä ja vaatii suuria lunnaita.
Aiheeseen liittyviä:Mitä ovat raa'an voiman hyökkäykset? Kuinka suojella itseäsi
BitPaymerin uusimmat iteroinnit ovat levinneet väärennettyjen Flash- ja Chrome -päivitysten kautta. Kun ransomware pääsee verkkoon, se lukitsee tiedostot käyttämällä useita salausalgoritmeja ja jättää lunnaita koskevan huomautuksen.
WastedLocker
Valtiovarainministeriön pakotteiden jälkeen Evil Corp meni tutkan alle. Mutta ei kauaa; Ryhmä nousi uudelleen vuonna 2020 uudella, monimutkaisella lunnasohjelmalla nimeltä WastedLocker.
WastedLocker levittää yleensä vääriä selainpäivityksiä, jotka näkyvät usein laillisilla verkkosivustoilla, kuten uutissivustoilla.
Kun uhri on ladannut väärennetyn päivityksen, WastedLocker siirtyy muille verkon koneille ja suorittaa etuoikeuksien laajennuksen (saa luvattoman käytön hyödyntämällä tietoturva -aukkoja).
Suorituksen jälkeen WastedLocker salaa lähes kaikki tiedostot, joita se voi käyttää, ja nimeää ne uudelleen sisältää uhrin nimen sekä "hukkaan" ja vaatii lunnaita 500-500 dollarin välillä miljoonaa.
Hades
Evil Corp: n Hades -lunnasohjelma, joka löydettiin ensimmäisen kerran joulukuussa 2020, näyttää olevan päivitetty versio WastedLockerista.
Saatuaan lailliset kirjautumistiedot se soluttautuu järjestelmiin VPN (Virtual Private Network)-tai Remote Desktop Protocol (RDP) -asetusten kautta, yleensä raa'an voiman hyökkäysten kautta.
Laskeutuessaan uhrin koneelle Hades toistaa itsensä ja käynnistyy uudelleen komentorivin kautta. Ohjelma käynnistyy, jolloin haittaohjelma voi skannata järjestelmän ja salata tiedostot. Haittaohjelma jättää sitten lunnaalähteen ja ohjaa uhrin asentamaan Torin ja käymään verkko -osoitteessa.
Erityisesti Web -osoitteet Hadesin lehdet räätälöidään kullekin kohteelle. Hades näyttää kohdistuvan yksinomaan organisaatioihin, joiden vuotuiset tulot ovat yli miljardi dollaria.
PayloadBIN
Evil Corp näyttää esiintyvän Babuk -hakkeriryhmästä ja ottavan käyttöön PayloadBIN -lunnasohjelman.
LIITTYVÄT: Mikä on Babuk -lokero? Ransomware -jengi, jonka sinun pitäisi tietää
Ensimmäinen havaittu vuonna 2021, PayloadBIN salaa tiedostot ja lisää ".PAYLOADBIN" uutena laajennuksena ja toimittaa sitten lunnaita koskevan huomautuksen.
Epäillään olevan sidoksia Venäjän tiedustelupalveluun
Turvallisuuskonsultointiyritys TruesecAnalyysi Evil Corp: n ransomware-tapahtumista paljasti, että ryhmä on käyttänyt samanlaisia tekniikoita Venäjän hallituksen tukemilla hakkereilla SolarWinds hyökkää vuonna 2020.
Vaikka Evil Corp on erittäin kykenevä, se on ollut melko välinpitämätön lunnaiden maksamisessa, tutkijat havaitsivat. Voisiko olla mahdollista, että ryhmä käyttää ransomware -hyökkäyksiä häiriötekijäksi salatakseen todellisen tavoitteensa: tietovakoilun?
Truesecin mukaan todisteet viittaavat siihen, että Evil Corp on "muuttunut palkkasoturivakoilujärjestöksi Venäjän tiedustelupalvelu, mutta piiloutunut tietoverkkorikoksen julkisivun taakse ja hämärtää rajat rikollisuuden ja vakoilu."
Yakubetsilla sanotaan olevan läheiset siteet liittovaltion turvallisuuspalveluun (FSB), joka on Neuvostoliiton KGB: n tärkein seuraaja. Hän ilmoitti naimisiin FSB: n korkean upseerin Eduard Benderskyn tyttären kanssa kesällä 2017.
Missä Evil Corp iskee seuraavaksi?
Evil Corp on kasvanut hienostuneeksi ryhmäksi, joka pystyy suorittamaan korkean profiilin hyökkäyksiä suuria instituutioita vastaan. Kuten tämä artikkeli korostaa, sen jäsenet ovat osoittaneet kykenevänsä sopeutumaan erilaisiin vastoinkäymisiin - mikä tekee niistä entistä vaarallisempia.
Vaikka kukaan ei tiedä, mihin he iskevät seuraavaksi, ryhmän menestys korostaa, että on tärkeää suojella itseäsi verkossa ja olla napsauttamatta epäilyttäviä linkkejä.
Verkkorikollisuus on uhka, joka haastaa meidät kaikki. Ennaltaehkäisy vaatii koulutusta, joten on aika oppia pahimmista tietoverkkorikollisuusryhmistä.
Lue seuraava
- Turvallisuus
- Hakkerointi
- Online -suojaus
- Turvallisuus
Damir on freelance -kirjoittaja ja toimittaja, jonka työ keskittyy kyberturvallisuuteen. Kirjoittamisen lisäksi hän nauttii lukemisesta, musiikista ja elokuvista.
tilaa uutiskirjeemme
Liity uutiskirjeeseemme saadaksesi teknisiä vinkkejä, arvosteluja, ilmaisia e -kirjoja ja ainutlaatuisia tarjouksia!
Klikkaa tästä tilataksesi
