„Evil Corp“: gilus pasinerimas į vieną žinomiausių pasaulio įsilaužėlių grupių

2019 metais JAV teisingumo departamentas pateikė kaltinimus Rusijos piliečiui Maksimui Yakubetsui, siūlydamas 5 milijonų dolerių atlygį už informaciją, dėl kurios jis buvo suimtas.

Niekas nepateikė informacijos, kuri leistų JAV valdžios institucijoms užfiksuoti nesuprantamus ir paslaptingus Jakubetus. Jis vis dar yra laisvėje, kaip „Evil Corp“ - vienos žinomiausių ir sėkmingiausių visų laikų įsilaužėlių grupių - lyderis.

Nuo 2009 m. Veikianti „Evil Corp“, dar vadinama „Dridex“ gauja arba „INDRIK SPIDER“, nuolat užpuolė įmonių, bankų ir finansų institucijų visame pasaulyje, pavogę šimtus milijonų dolerių procesas.

Pažiūrėkime, kokia pavojinga yra ši grupė.

Blogio evoliucija Corp

„Evil Corp“ metodai bėgant metams labai pasikeitė, nes pamažu iš tipiškos, finansiškai motyvuotos juodos skrybėlės įsilaužėlių grupės virto išskirtinai įmantria kibernetinių nusikaltimų apranga.

Kai 2019 metais Teisingumo departamentas apkaltino „Yakubets“, JAV iždo departamentasUžsienio turto kontrolės tarnyba (OFAC) paskelbė sankcijas prieš „Evil Corp. Kadangi sankcijos taip pat taikomos bet kuriai įmonei, kuri moka išpirką „Evil Corp“ arba palengvina mokėjimą, grupei teko prisitaikyti.

„Evil Corp“ panaudojo didžiulį kenkėjiškų programų arsenalą, skirtą organizacijoms nukreipti. Tolesniuose skyriuose bus apžvelgti garsiausi.

Dridex

Taip pat žinomas kaip „Bugat“ ir „Cridex“, „Dridex“ pirmą kartą buvo atrastas 2011 m. Klasikinis bankinis Trojos arklys, turintis daug panašumų su liūdnai pagarsėjusiu Dzeusu, „Dridex“ yra skirtas pavogti bankinę informaciją ir paprastai naudojamas el. Paštu.

Naudodamasi „Dridex“, „Evil Corp“ sugebėjo pavogti daugiau nei 100 milijonų JAV dolerių iš finansinių institucijų daugiau nei 40 šalių. Kenkėjiška programa nuolat atnaujinama naujomis funkcijomis ir išlieka aktyvi grėsmė visame pasaulyje.

Užrakintas

„Locky“ užkrečia tinklus per kenkėjiškus priedus sukčiavimo el. Laiškuose. Priedas, „Microsoft Word“ dokumentas, sudėtyje yra makro virusų. Kai auka atidaro dokumentą, kurio negalima perskaityti, pasirodo dialogo langas su fraze: „Įgalinti makrokomandą, jei duomenų kodavimas neteisingas“.

Ši paprasta socialinės inžinerijos technika paprastai apgauna auką įgalinti makrokomandas, kurios išsaugomos ir paleidžiamos kaip dvejetainis failas. Dvejetainis failas automatiškai atsisiunčia šifravimo Trojos arklys, kuris užrakina įrenginyje esančius failus ir nukreipia vartotoją į svetainę, kurioje reikalaujama išpirkos.

Bartas

Bartas dažniausiai naudojamas kaip nuotrauka sukčiavimo el. Laiškais. Jis nuskaito failus įrenginyje, ieškodamas tam tikrų plėtinių (muzikos, vaizdo įrašų, nuotraukų ir kt.), Ir užrakina juos slaptažodžiu apsaugotuose ZIP archyvuose.

Kai auka bando išpakuoti ZIP archyvą, jam pateikiama išpirkos pastaba (anglų k. Vokiečių, prancūzų, italų ar ispanų, priklausomai nuo vietos) ir liepė sumokėti išpirką Bitcoin.

Džefas

Pirmą kartą dislokuota „Jaff“ išpirkos programa skriejo po radaru, nes tiek kibernetinio saugumo ekspertai, tiek spauda daugiausia dėmesio skyrė „WannaCry“. Tačiau tai nereiškia, kad tai nėra pavojinga.

Panašiai kaip „Locky“, „Jaff“ atvyksta kaip el. Laiško priedas - paprastai kaip PDF dokumentas. Kai auka atidaro dokumentą, jie pamato iššokantįjį langą, kuriame klausiama, ar jie nori atidaryti failą. Kai tai padarys, makrokomandos paleidžiamos, paleidžiamos kaip dvejetainis failas ir užšifruojami įrenginyje esantys failai.

„BitPaymer“

„Evil Corp“ 2017 m. Liūdnai naudojo „BitPaymer“ išpirkos programinę įrangą, skirtą nukreipti į Jungtinės Karalystės ligonines. Sukurtas nukreipti į pagrindines organizacijas, „BitPaymer“ paprastai pristatomas per žiaurios jėgos išpuolius ir reikalauja didelių išpirkos mokėjimų.

Susijęs:Kas yra žiaurios jėgos išpuoliai? Kaip apsisaugoti

Naujausios „BitPaymer“ iteracijos buvo išplatintos naudojant netikrus „Flash“ ir „Chrome“ naujinius. Gavusi prieigą prie tinklo, ši išpirkos programa užrakina failus naudodami kelis šifravimo algoritmus ir palieka išpirkos užrašą.

WastedLocker

Iždo departamentas, gavęs sankcijas, „Evil Corp“ pateko į radarą. Bet neilgai; grupė vėl pasirodė 2020 m. su nauja, sudėtinga išpirkos programa, vadinama „WastedLocker“.

„WastedLocker“ paprastai skleidžiasi suklastotuose naršyklės atnaujinimuose, dažnai rodomuose teisėtose svetainėse, pvz., Naujienų svetainėse.

Kai auka atsisiunčia suklastotą naujinį, „WastedLocker“ persikelia į kitas tinklo mašinas ir padidina privilegijas (gauna neteisėtą prieigą išnaudodamas saugumo spragas).

Po vykdymo „WastedLocker“ užšifruoja beveik visus failus, kuriuos gali pasiekti, ir pervardija juos įtraukite aukos vardą kartu su „iššvaistyta“ ir reikalauja išpirkos nuo 500 000 iki 10 USD milijonų.

Hadas

„Evil Corp“ išpirkos programa „Hades“, pirmą kartą atrasta 2020 m. Gruodžio mėn., Atrodo, yra atnaujinta „WastedLocker“ versija.

Gavusi teisėtus įgaliojimus, ji įsiskverbia į sistemas per virtualiojo privataus tinklo (VPN) arba nuotolinio darbalaukio protokolo (RDP) sąrankas, dažniausiai naudodama brutalios jėgos išpuolius.

Nusileidęs ant aukos mašinos, Hadesas pakartoja save ir vėl paleidžia komandinę eilutę. Tada paleidžiamas vykdomasis failas, leidžiantis kenkėjiškai programai nuskaityti sistemą ir užšifruoti failus. Tada kenkėjiška programa palieka išpirkos raštą, nurodydama auką įdiegti „Tor“ ir aplankyti žiniatinklio adresą.

Pažymėtina, kad „Hades“ lapų žiniatinklio adresai yra pritaikyti kiekvienam tikslui. Atrodo, kad Hadesas yra skirtas tik organizacijoms, kurių metinės pajamos viršija 1 mlrd.

„PayloadBIN“

Panašu, kad „Evil Corp“ apsimeta „Babuk“ įsilaužėlių grupe ir diegia „PayloadBIN“ išpirkos programinę įrangą.

SUSIJĘS: Kas yra „Babuk“ spintelė? „Ransomware“ gauja, apie kurią turėtumėte žinoti

Pirmą kartą pastebėtas 2021 m., „PayloadBIN“ užšifruoja failus ir prideda „.PAYLOADBIN“ kaip naują plėtinį, o tada pateikia išpirkos pranešimą.

Įtariami ryšiai su Rusijos žvalgyba

Saugumo konsultacijų įmonė Truesecišanalizavus išpirkos programų incidentus, kuriuose dalyvavo „Evil Corp“, paaiškėjo, kad ši grupė naudojo panašius metodus, kuriuos Rusijos vyriausybės remiami įsilaužėliai naudojo niokojančiam įvykdymui „SolarWinds“ ataka 2020 metais.

Mokslininkai nustatė, kad nors „Evil Corp“ yra nepaprastai pajėgi, ji nesirūpina išpirkos išmokų išgavimu. Ar gali būti, kad grupė naudoja išpirkos programinės įrangos atakas kaip blaškymosi taktiką, kad nuslėptų tikrąjį tikslą - kibernetinį šnipinėjimą?

Pasak Trueseco, įrodymai rodo, kad „Evil Corp“ „pavirto į samdinių šnipinėjimo organizaciją“ Rusijos žvalgyba, bet slepiasi už elektroninių nusikaltimų žiedo fasado ir neryškina ribas tarp nusikalstamumo ir šnipinėjimas “.

Sakoma, kad „Yakubets“ turi glaudžius ryšius su Federaline saugumo tarnyba (FSB) - pagrindine Sovietų Sąjungos KGB įpėdine. Pranešama, kad 2017 metų vasarą jis susituokė su aukšto rango FSB pareigūno Eduardo Benderskio dukra.

Kur toliau puls „Evil Corp“?

„Evil Corp“ išaugo į sudėtingą grupę, galinčią įvykdyti didelio masto atakas prieš pagrindines institucijas. Kaip pabrėžiama šiame straipsnyje, jo nariai įrodė, kad gali prisitaikyti prie įvairių nelaimių, todėl jie tampa dar pavojingesni.

Nors niekas nežino, kur toliau smogs, grupės sėkmė pabrėžia, kaip svarbu apsisaugoti internete ir nespustelėti įtartinų nuorodų.

5 labiausiai žinomos organizuotos elektroninių nusikaltimų gaujos

Nusikaltimai elektroninėje erdvėje yra grėsmė, kelianti iššūkį mums visiems. Prevencija reikalauja išsilavinimo, todėl atėjo laikas sužinoti apie blogiausias elektroninių nusikaltimų grupes.

Skaityti toliau

Apie autorių