В 2019 году Министерство юстиции США предъявило обвинение гражданину России Максиму Якубцу, предложив вознаграждение в размере 5 миллионов долларов за информацию, ведущую к его аресту.

Пока никто не сообщил информации, которая позволила бы властям США запечатлеть неуловимого и загадочного Якубца. Он все еще на свободе, как лидер Evil Corp - одной из самых известных и успешных хакерских групп всех времен.

Действующая с 2009 года Evil Corp, также известная как банда Dridex или INDRIK SPIDER, сделала ставку на постоянное нападение на юридические лица, банки и финансовые учреждения по всему миру, воруя сотни миллионов долларов в процесс.

Давайте посмотрим, насколько опасна эта группа.

Эволюция Evil Corp.

Методы Evil Corp за прошедшие годы значительно изменились, поскольку она постепенно превратилась из типичной финансово мотивированной хакерской группы в исключительно изощренную киберпреступную организацию.

Когда в 2019 году Министерство юстиции предъявило обвинение Якубцу, Министерство финансов США

instagram viewer
Управление по контролю за иностранными активами (OFAC) ввело санкции против Evil Corp. Поскольку санкции распространяются также на любую компанию, которая платит выкуп Evil Corp или способствует выплате, группе пришлось адаптироваться.

Evil Corp использовала обширный арсенал вредоносных программ для нацеливания на организации. В следующих разделах будут рассмотрены самые известные из них.

Дридекс

Также известный как Bugat и Cridex, Dridex был впервые обнаружен в 2011 году. Классический банковский троян, имеющий много общего с печально известным Zeus, Dridex предназначен для кражи банковской информации и обычно распространяется через электронную почту.

Используя Dridex, Evil Corp удалось украсть более 100 миллионов долларов из финансовых учреждений в более чем 40 странах. Вредоносная программа постоянно пополняется новыми функциями и остается активной угрозой во всем мире.

Локки

Locky заражает сети через вредоносные вложения в фишинговых письмах. Вложение, документ Microsoft Word, содержит макровирусы. Когда жертва открывает документ, который не читается, появляется диалоговое окно с фразой: «Включить макрос, если кодировка данных неверна».

Этот простой метод социальной инженерии обычно обманом заставляет жертву активировать макросы, которые сохраняются и запускаются как двоичный файл. Бинарный файл автоматически загружает троян-шифровальщик, который блокирует файлы на устройстве и направляет пользователя на веб-сайт с требованием выкупа.

Барт

Барт обычно размещается в виде фото в фишинговых письмах. Он сканирует файлы на устройстве в поисках определенных расширений (музыка, видео, фотографии и т. Д.) И блокирует их в защищенных паролем ZIP-архивах.

Как только жертва пытается распаковать ZIP-архив, ей предоставляется записка с требованием выкупа (на английском языке, На немецком, французском, итальянском или испанском, в зависимости от местоположения) и попросили отправить выкуп в Биткойн.

Jaff

При первом запуске программа-вымогатель Jaff оставалась незамеченной, потому что и эксперты по кибербезопасности, и пресса сосредоточили внимание на WannaCry. Однако это не значит, что это не опасно.

Как и Локки, Jaff приходит в виде вложения к электронному письму - обычно в виде PDF-документа. Как только жертва открывает документ, она видит всплывающее окно с вопросом, хотят ли они открыть файл. Как только они это сделают, макросы выполняются, запускаются как двоичный файл и шифруют файлы на устройстве.

BitPaymer

В 2017 году Evil Corp использовала программу-вымогатель BitPaymer для атак на больницы в Великобритании. BitPaymer, разработанный для крупных организаций, обычно доставляется с помощью грубой силы и требует больших выкупов.

Связанный:Что такое атаки методом грубой силы? Как защитить себя

Более поздние версии BitPaymer распространялись через поддельные обновления Flash и Chrome. Получив доступ к сети, эта программа-вымогатель блокирует файлы, используя несколько алгоритмов шифрования, и оставляет записку о выкупе.

WastedLocker

После санкции Министерства финансов Evil Corp оказалась незамеченной. Но не надолго; группа вновь появилась в 2020 году с новой сложной программой-вымогателем под названием WastedLocker.

WastedLocker обычно распространяется в виде поддельных обновлений браузера, часто отображаемых на законных веб-сайтах, таких как новостные.

Как только жертва загружает поддельное обновление, WastedLocker перемещается на другие машины в сети и выполняет эскалацию привилегий (получает несанкционированный доступ, используя уязвимости безопасности).

После выполнения WastedLocker шифрует практически все файлы, к которым имеет доступ, и переименовывает их в включить имя жертвы вместе со словом «потрачено впустую» и требует выкупа в размере от 500 000 до 10 долларов. миллион.

Аид

Программа-вымогатель Hades от Evil Corp, впервые обнаруженная в декабре 2020 года, представляет собой обновленную версию WastedLocker.

После получения законных учетных данных он проникает в системы через виртуальную частную сеть (VPN) или протокол удаленного рабочего стола (RDP), обычно с помощью атак грубой силы.

После приземления на машину жертвы Hades копирует себя и перезапускается через командную строку. Затем запускается исполняемый файл, позволяющий вредоносной программе сканировать систему и шифровать файлы. Затем вредоносная программа оставляет записку о выкупе, предлагая жертве установить Tor и посетить веб-адрес.

Примечательно, что веб-адреса, которые оставляет Аид, настраиваются для каждой цели. Похоже, что Hades нацелился исключительно на организации с годовым доходом, превышающим 1 миллиард долларов.

PayloadBIN

Evil Corp, похоже, выдает себя за хакерскую группу Бабука и развертывает вымогатель PayloadBIN.

СВЯЗАННЫЕ С: Что такое шкафчик Бабук? Банда программ-вымогателей, о которых вы должны знать

Впервые обнаруженный в 2021 году, PayloadBIN шифрует файлы и добавляет «.PAYLOADBIN» в качестве нового расширения, а затем отправляет записку с требованием выкупа.

Подозреваемые связи с российской разведкой

Консультационная компания по безопасности TruesecАнализ инцидентов с программами-вымогателями с участием Evil Corp показал, что группа использовала аналогичные методы, которые поддерживаемые правительством российские хакеры использовали для проведения разрушительных Атака SolarWinds в 2020 году.

Исследователи обнаружили, что несмотря на свои огромные возможности, Evil Corp довольно беспечно относится к получению выкупа. Может быть, группа использует атаки программ-вымогателей как отвлекающий маневр, чтобы скрыть свою истинную цель: кибершпионаж?

По словам Трюсека, данные свидетельствуют о том, что Evil Corp «превратилась в наемную шпионскую организацию, контролируемую российской разведкой, но скрывается за фасадом сети киберпреступников, стирая границы между преступностью и шпионаж ".

Говорят, что Якубец тесно связан с Федеральной службой безопасности (ФСБ) - главным правопреемником КГБ Советского Союза. Сообщается, что летом 2017 года он женился на дочери высокопоставленного офицера ФСБ Эдуарда Бендерского.

Где нанесет следующий удар Evil Corp?

Evil Corp превратилась в изощренную группу, способную проводить громкие атаки на крупные учреждения. Как подчеркивается в этой статье, его члены доказали, что они могут адаптироваться к различным невзгодам, что делает их еще более опасными.

Хотя никто не знает, где они нанесут следующий удар, успех группы подчеркивает важность защиты себя в Интернете и не переходить по подозрительным ссылкам.

ДелитьсяТвитнутьЭл. адрес
5 самых известных банд организованных киберпреступлений

Киберпреступность - это угроза, которая бросает вызов всем нам. Профилактика требует образования, поэтому пришло время узнать о самых страшных группах киберпреступников.

Читать далее

Похожие темы
  • Безопасность
  • Взлом
  • Интернет-безопасность
  • Безопасность
Об авторе
Дамир Мужезинович (Опубликовано 4 статей)

Дамир - внештатный писатель и репортер, чья работа посвящена кибербезопасности. Помимо письма, он любит читать, музыку и кино.

Ещё от Damir Mujezinovic

Подписывайтесь на нашу новостную рассылку

Подпишитесь на нашу рассылку, чтобы получать технические советы, обзоры, бесплатные электронные книги и эксклюзивные предложения!

Нажмите здесь, чтобы подписаться