Evil Corp: A Deep Dive Into One of the Most Notorious Hacker Groups στον κόσμο

Το 2019, το Υπουργείο Δικαιοσύνης των Ηνωμένων Πολιτειών κατέθεσε κατηγορίες εναντίον του Ρώσου υπηκόου Μακσίμ Γιακουμπέτς, προσφέροντας ανταμοιβή 5 εκατομμυρίων δολαρίων για πληροφορίες που οδήγησαν στη σύλληψή του.

Κανείς δεν έχει παρουσιάσει πληροφορίες που θα επέτρεπαν στις αμερικανικές αρχές να συλλάβουν τα άπιαστα και μυστηριώδη Yakubets μέχρι τώρα. Είναι ακόμα ελεύθερος, ως ηγέτης του Evil Corp - μιας από τις πιο διαβόητες και επιτυχημένες ομάδες χάκερ όλων των εποχών.

Ενεργός από το 2009, η Evil Corp - γνωστή και ως συμμορία Dridex ή INDRIK SPIDER - έχει εξαπολύσει συνεχή επίθεση εταιρικές οντότητες, τράπεζες και χρηματοπιστωτικά ιδρύματα σε όλο τον κόσμο, κλέβοντας εκατοντάδες εκατομμύρια δολάρια σε επεξεργάζομαι, διαδικασία.

Ας ρίξουμε μια ματιά στο πόσο επικίνδυνη είναι αυτή η ομάδα.

The Evolution of Evil Corp

Οι μέθοδοι του Evil Corp έχουν αλλάξει σημαντικά με την πάροδο των ετών, καθώς σταδιακά εξελίχθηκε από μια τυπική, οικονομικά παρακινούμενη ομάδα χάκερ μαύρων καπέλων σε μια εξαιρετικά εξελιγμένη στολή για εγκλήματα στον κυβερνοχώρο.

Όταν το Υπουργείο Δικαιοσύνης κατηγόρησε τον Γιακουμπέτς το 2019, το Υπουργείο Οικονομικών των ΗΠΑΤο γραφείο ελέγχου ξένων περιουσιακών στοιχείων (OFAC) εξέδωσε κυρώσεις κατά της Evil Corp. Δεδομένου ότι οι κυρώσεις ισχύουν επίσης για οποιαδήποτε εταιρεία που πληρώνει λύτρα στην Evil Corp ή διευκολύνει την πληρωμή, η ομάδα έπρεπε να προσαρμοστεί.

Η Evil Corp έχει χρησιμοποιήσει ένα τεράστιο οπλοστάσιο κακόβουλου λογισμικού για να στοχεύσει οργανισμούς. Οι παρακάτω ενότητες θα εξετάσουν τις πιο διαβόητες.

Dridex

Επίσης γνωστό ως Bugat και Cridex, το Dridex ανακαλύφθηκε για πρώτη φορά το 2011. Ένα κλασικό τραπεζικό trojan που έχει πολλές ομοιότητες με τον περιβόητο Δία, το Dridex έχει σχεδιαστεί για να κλέβει τραπεζικές πληροφορίες και συνήθως αναπτύσσεται μέσω email.

Χρησιμοποιώντας το Dridex, η Evil Corp κατάφερε να κλέψει περισσότερα από 100 εκατομμύρια δολάρια από χρηματοπιστωτικά ιδρύματα σε περισσότερες από 40 χώρες. Το κακόβουλο λογισμικό ενημερώνεται συνεχώς με νέες δυνατότητες και παραμένει ενεργή απειλή παγκοσμίως.

Κλειδωμένος

Ο Locky μολύνει τα δίκτυα μέσω κακόβουλων συνημμένων σε μηνύματα ηλεκτρονικού ψαρέματος. Το συνημμένο, ένα έγγραφο του Microsoft Word, περιέχει μακρο ιούς. Όταν το θύμα ανοίξει το έγγραφο, το οποίο δεν είναι αναγνώσιμο, εμφανίζεται ένα πλαίσιο διαλόγου με τη φράση: "Ενεργοποίηση μακροεντολής εάν η κωδικοποίηση δεδομένων είναι εσφαλμένη".

Αυτή η απλή τεχνική κοινωνικής μηχανικής συνήθως ξεγελά το θύμα ώστε να ενεργοποιεί τις μακροεντολές, οι οποίες αποθηκεύονται και εκτελούνται ως δυαδικό αρχείο. Το δυαδικό αρχείο κατεβάζει αυτόματα την κρυπτογράφηση Trojan, η οποία κλειδώνει αρχεία στη συσκευή και κατευθύνει τον χρήστη σε έναν ιστότοπο που απαιτεί πληρωμή λύτρων.

Μπαρτ

Ο Bart αναπτύσσεται συνήθως ως φωτογραφία μέσω ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος (phishing). Σαρώνει αρχεία σε μια συσκευή που αναζητά συγκεκριμένες επεκτάσεις (μουσική, βίντεο, φωτογραφίες κ.λπ.) και τα κλειδώνει σε αρχεία ZIP που προστατεύονται με κωδικό πρόσβασης.

Μόλις το θύμα προσπαθήσει να αποσυσκευάσει το αρχείο ZIP, του εμφανίζεται μια σημείωση λύτρων (στα Αγγλικά, Γερμανικά, Γαλλικά, Ιταλικά ή Ισπανικά, ανάλογα με την τοποθεσία) και τους ζητείται να υποβάλουν πληρωμή λύτρων στο Bitcoin.

Jaff

Όταν αναπτύχθηκε για πρώτη φορά, το Jaff ransomware πέταξε κάτω από το ραντάρ επειδή τόσο οι ειδικοί στον κυβερνοχώρο όσο και ο τύπος επικεντρώθηκαν στο WannaCry. Ωστόσο, αυτό δεν σημαίνει ότι δεν είναι επικίνδυνο.

Όπως και ο Locky, ο Jaff έρχεται ως συνημμένο email - συνήθως ως έγγραφο PDF. Μόλις το θύμα ανοίξει το έγγραφο, βλέπει ένα αναδυόμενο παράθυρο που ρωτά αν θέλει να ανοίξει το αρχείο. Μόλις το κάνουν, οι μακροεντολές εκτελούνται, εκτελούνται ως δυαδικό αρχείο και κρυπτογραφούν αρχεία στη συσκευή.

BitPaymer

Η Evil Corp χρησιμοποίησε το διαβόητο BitPaymer για να στοχεύσει νοσοκομεία στο Ηνωμένο Βασίλειο το 2017. Αναπτύχθηκε για τη στόχευση μεγάλων οργανισμών, το BitPaymer παραδίδεται συνήθως μέσω επιθέσεων βίαιης δύναμης και απαιτεί υψηλές πληρωμές λύτρων.

Σχετίζεται με:Τι είναι οι επιθέσεις Brute-Force; Πώς να προστατέψετε τον εαυτό σας

Πιο πρόσφατες επαναλήψεις του BitPaymer κυκλοφόρησαν μέσω πλαστών ενημερώσεων Flash και Chrome. Μόλις αποκτήσει πρόσβαση σε ένα δίκτυο, αυτό το ransomware κλειδώνει αρχεία χρησιμοποιώντας πολλαπλούς αλγόριθμους κρυπτογράφησης και αφήνει μια σημείωση λύτρων.

WastedLocker

Μετά την επιβολή κυρώσεων από το Υπουργείο Οικονομικών, το Evil Corp πέρασε στο ραντάρ. Αλλά όχι για πολύ; η ομάδα εμφανίστηκε ξανά το 2020 με νέο, πολύπλοκο ransomware που ονομάζεται WastedLocker.

Το WastedLocker κυκλοφορεί συνήθως σε ψεύτικες ενημερώσεις προγράμματος περιήγησης, που εμφανίζονται συχνά σε νόμιμους ιστότοπους - όπως ιστότοπους ειδήσεων.

Μόλις το θύμα κατεβάσει την ψεύτικη ενημέρωση, το WastedLocker μετακινείται σε άλλα μηχανήματα του δικτύου και εκτελεί κλιμάκωση προνομίων (αποκτά μη εξουσιοδοτημένη πρόσβαση εκμεταλλευόμενη τρωτά σημεία ασφαλείας).

Μετά την εκτέλεση, το WastedLocker κρυπτογραφεί σχεδόν όλα τα αρχεία στα οποία μπορεί να έχει πρόσβαση και τα μετονομάζει περιλαμβάνει το όνομα του θύματος μαζί με το "σπατάλη" και απαιτεί πληρωμή λύτρων μεταξύ 500.000 και 10 δολαρίων εκατομμύριο.

άδης

Ανακαλύφθηκε για πρώτη φορά τον Δεκέμβριο του 2020, το ransomware του Evil Corp's Hades φαίνεται να είναι μια ενημερωμένη έκδοση του WastedLocker.

Μετά την απόκτηση νόμιμων διαπιστευτηρίων, διεισδύει στα συστήματα μέσω ρυθμίσεων του Virtual Private Network (VPN) ή του Remote Desktop Protocol (RDP), συνήθως μέσω επιθέσεων βίαιης δύναμης.

Κατά την προσγείωση στο μηχάνημα ενός θύματος, ο Άδης αναπαράγεται και επανεκκινείται μέσω της γραμμής εντολών. Στη συνέχεια ξεκινά ένα εκτελέσιμο, επιτρέποντας στο κακόβουλο λογισμικό να σαρώσει το σύστημα και να κρυπτογραφήσει αρχεία. Το κακόβουλο λογισμικό αφήνει στη συνέχεια ένα σημείωμα λύτρων, κατευθύνοντας το θύμα να εγκαταστήσει το Tor και να επισκεφτεί μια διεύθυνση ιστού.

Αξιοσημείωτο, οι διευθύνσεις ιστού Τα φύλλα του Άδη είναι προσαρμοσμένα για κάθε στόχο. Ο Άδης φαίνεται να στοχεύει αποκλειστικά οργανισμούς με ετήσια έσοδα που ξεπερνούν το 1 δισεκατομμύριο δολάρια.

PayloadBIN

Η Evil Corp φαίνεται να υποδύεται την ομάδα χάκερ Babuk και να αναπτύσσει το ransomware PayloadBIN.

ΣΧΕΤΙΖΕΤΑΙ ΜΕ: Τι είναι το Babuk Locker; Η συμμορία Ransomware που πρέπει να γνωρίζετε

Πρώτα εντοπισμένο το 2021, το PayloadBIN κρυπτογραφεί αρχεία και προσθέτει ".PAYLOADBIN" ως νέα επέκταση και στη συνέχεια παραδίδει ένα σημείωμα λύτρων.

Susποπτοι δεσμοί με τη ρωσική υπηρεσία πληροφοριών

Η εταιρεία συμβούλων ασφαλείας TruesecΗ ανάλυση των περιστατικών ransomware που αφορούσαν το Evil Corp αποκάλυψε ότι η ομάδα χρησιμοποίησε παρόμοιες τεχνικές που χρησιμοποίησαν ρωσικά κυβερνητικά χάκερ για να πραγματοποιήσουν τα καταστροφικά Επίθεση SolarWinds το 2020.

Αν και εξαιρετικά ικανός, η Evil Corp ήταν μάλλον αδιάφορη όσον αφορά την εξαγωγή πληρωμών λύτρων, διαπίστωσαν οι ερευνητές. Μήπως η ομάδα χρησιμοποιεί επιθέσεις ransomware ως τακτική απόσπασης της προσοχής για να αποκρύψει τον πραγματικό της στόχο: την κατασκοπεία στον κυβερνοχώρο;

Σύμφωνα με την Truesec, τα στοιχεία υποδηλώνουν ότι το Evil Corp «έχει μετατραπεί σε μια μισθοφορική κατασκοπευτική οργάνωση που ελέγχεται από τη ρωσική υπηρεσία πληροφοριών, αλλά κρύβεται πίσω από την πρόσοψη ενός κυκλώματος ηλεκτρονικού εγκλήματος, θολώνοντας τις γραμμές μεταξύ εγκλήματος και κατασκοπεία."

Ο Yakubets φέρεται να έχει στενούς δεσμούς με την Ομοσπονδιακή Υπηρεσία Ασφαλείας (FSB) - τον κύριο διάδοχο οργανισμό της KGB της Σοβιετικής Ένωσης. Σύμφωνα με πληροφορίες, παντρεύτηκε την κόρη του υψηλόβαθμου αξιωματικού της FSB Eduard Bendersky το καλοκαίρι του 2017.

Πού θα χτυπήσει στη συνέχεια το Evil Corp;

Το Evil Corp έχει εξελιχθεί σε μια εξελιγμένη ομάδα ικανή να πραγματοποιεί επιθέσεις υψηλού προφίλ σε μεγάλα ιδρύματα. Όπως τονίζει αυτό το άρθρο, τα μέλη του έχουν αποδείξει ότι μπορούν να προσαρμοστούν σε διαφορετικές αντιξοότητες - καθιστώντας τις ακόμη πιο επικίνδυνες.

Παρόλο που κανείς δεν γνωρίζει πού θα χτυπήσει στη συνέχεια, η επιτυχία της ομάδας αναδεικνύει τη σημασία της προστασίας του εαυτού σας στο διαδίκτυο και όχι κλικ σε ύποπτους συνδέσμους.

Οι 5 πιο διαβόητες οργανωμένες συμμορίες για εγκλήματα στον κυβερνοχώρο

Το έγκλημα στον κυβερνοχώρο είναι μια απειλή που προκαλεί όλους μας. Η πρόληψη απαιτεί εκπαίδευση, οπότε ήρθε η ώρα να μάθετε για τις χειρότερες ομάδες εγκλημάτων στον κυβερνοχώρο.

Διαβάστε Επόμενο

Σχετικά με τον Συγγραφέα