2019. aastal esitas Ameerika Ühendriikide justiitsministeerium süüdistuse Venemaa kodanikule Maksim Yakubetsile, pakkudes 5 miljonit dollarit tasu vahistamisele viiva teabe eest.
Keegi pole seni esitanud teavet, mis võimaldaks USA ametivõimudel tabada tabamatuid ja salapäraseid Jakubette. Ta on endiselt vabaduses, kui Evil Corpi juht - üks kõigi aegade kurikuulsamaid ja edukamaid häkkerirühmi.
Alates 2009. aastast tegutsev Evil Corp - tuntud ka kui Dridexi jõuk või INDRIK SPIDER - on panustanud pidevasse rünnakusse ettevõtteid, panku ja finantsasutusi üle maailma, varastades sadu miljoneid dollareid protsessi.
Vaatame, kui ohtlik see rühmitus on.
Evil of Evil Corp
Evil Corpi meetodid on aastate jooksul tunduvalt muutunud, kuna see muutus järk -järgult tüüpilisest, rahaliselt motiveeritud musta mütsi häkkerite rühmitusest erakordselt keerukaks küberkuritegevuse riietuseks.
Kui justiitsministeerium esitas Yakubetsile 2019. aastal süüdistuse, siis USA rahandusministeeriumVälisvarade kontrolli büroo (OFAC) kehtestas sanktsioonid Evil Corp. Kuna sanktsioonid kehtivad ka iga ettevõtte kohta, kes maksab Evil Corpile lunaraha või hõlbustab maksmist, on kontsern pidanud kohanema.
Evil Corp on organisatsioonide sihtimiseks kasutanud tohutut pahavara arsenali. Järgmistes jaotistes käsitletakse kõige kurikuulsamaid.
Dridex
Tuntud ka kui Bugat ja Cridex, avastati Dridex esmakordselt 2011. aastal. Klassikaline pangandustrooja, millel on palju sarnasusi kurikuulsa Zeusiga, on Dridex mõeldud pangateabe varastamiseks ja seda kasutatakse tavaliselt e -posti teel.
Dridexi abil on Evil Corp suutnud varastada üle 100 miljoni dollari finantsasutustelt enam kui 40 riigis. Pahavara uuendatakse pidevalt uute funktsioonidega ja see on kogu maailmas aktiivne oht.
Lukustatud
Locky nakatab võrke õngitsemismeilide pahatahtlike manuste kaudu. Manus, Microsoft Wordi dokument, sisaldab makroviirusi. Kui ohver avab dokumendi, mis pole loetav, ilmub dialoogiboks fraasiga: "Luba makro, kui andmete kodeerimine on vale".
See lihtne sotsiaalse inseneritehnika petab ohvrit tavaliselt makrosid lubama, mis salvestatakse ja käivitatakse binaarfailina. Binaarfail laadib automaatselt alla krüptimise trooja, mis lukustab seadmes olevad failid ja suunab kasutaja lunaraha nõudvale veebisaidile.
Bart
Barti kasutatakse tavaliselt andmepüügimeilide kaudu fotona. See skannib seadmes faile, otsides teatud laiendusi (muusika, videod, fotod jne) ja lukustab need parooliga kaitstud ZIP-arhiividesse.
Kui ohver üritab ZIP -arhiivi lahti pakkida, esitatakse talle lunaraha (inglise keeles, Saksa, prantsuse, itaalia või hispaania keel, olenevalt asukohast) ja neil paluti esitada lunaraha Bitcoin.
Jaff
Esmakordsel kasutuselevõtul lendas Jaffi lunavara radari alla, sest nii küberturbeeksperdid kui ka ajakirjandus keskendusid WannaCryle. See aga ei tähenda, et see pole ohtlik.
Sarnaselt Lockyle saabub Jaff meilisõnumina - tavaliselt PDF -dokumendina. Kui ohver dokumendi avab, näevad nad hüpikakent, kus küsitakse, kas nad soovivad faili avada. Kui need on tehtud, käivitatakse makro, käivitatakse kahendfailina ja krüptitakse seadmes olevad failid.
BitPaymer
Evil Corp kasutas kurikuulsalt BitPaymeri lunavara, et sihtida Ühendkuningriigi haiglaid 2017. aastal. Suurte organisatsioonide sihtimiseks välja töötatud BitPaymer tarnitakse tavaliselt toore jõuga rünnakute kaudu ja nõuab suuri lunaraha.
Seotud:Mis on julma jõu rünnakud? Kuidas ennast kaitsta
BitPaymeri uuemad iteratsioonid on levinud võltsitud Flashi ja Chrome'i värskenduste kaudu. Kui see lunavara võrku pääseb, lukustab see failid mitme krüptimisalgoritmi abil ja jätab lunaraha.
WastedLocker
Pärast rahandusministeeriumi sanktsioonide saamist läks Evil Corp radari alla. Kuid mitte kauaks; rühmitus tuli 2020. aastal uue keerulise lunavara nimega WastedLocker.
WastedLocker levib tavaliselt võltsitud brauseri värskendustes, mis kuvatakse sageli seaduslikel veebisaitidel, näiteks uudistesaitidel.
Kui ohver on võltsvärskenduse alla laadinud, liigub WastedLocker võrgu teistesse masinatesse ja eskaleerib privileege (saab volitamata juurdepääsu, kasutades turvaauke).
Pärast täitmist krüpteerib WastedLocker praktiliselt kõik failid, millele tal on juurdepääs, ja nimetab need ümber lisada ohvri nimi koos sõnaga „raisatud” ja nõuab lunaraha 500 000–10 dollarit miljonit.
Hades
Esmakordselt 2020. aasta detsembris avastatud Evil Corpi lunavara Hades näib olevat WastedLockeri uuendatud versioon.
Pärast õigustatud mandaadi saamist imbub see süsteemidesse virtuaalse privaatvõrgu (VPN) või kaugtöölaua protokolli (RDP) seadistuste kaudu, tavaliselt toorjõuliste rünnakute kaudu.
Ohvri masinale maandudes kordab Hades ennast ja käivitab uuesti käsurealt. Seejärel käivitatakse käivitatav fail, mis võimaldab pahavaral süsteemi skannida ja faile krüptida. Pahavara jätab seejärel lunaraha, suunates ohvri Tori installima ja veebiaadressi külastama.
Eelkõige kohandatakse Hadesi lehtede veebiaadressid iga sihtmärgi jaoks. Hades näib olevat suunatud ainult organisatsioonidele, mille aastane tulu ületab miljardit dollarit.
PayloadBIN
Tundub, et Evil Corp esineb Babuki häkkerirühmana ja kasutab PayloadBIN lunavara.
SEOTUD: Mis on Babuki kapp? Lunavarajõuk, millest peaksite teadma
Esmakordselt 2021. aastal märgatud PayloadBIN krüpteerib failid ja lisab uue laiendina ".PAYLOADBIN" ning edastab seejärel lunaraha.
Arvatavad sidemed Vene luurega
Turvakonsultatsioonifirma TruesecEvil Corpiga seotud lunavarajuhtumite analüüs näitas, et rühmitus on kasutanud sarnaseid meetodeid, mida Vene valitsuse toetatud häkkerid kasutasid laastavate tegude tegemiseks SolarWindsi rünnak aastal 2020.
Uurijad leidsid, et kuigi Evil Corp on äärmiselt võimekas, on ta lunaraha sissenõudmise suhtes üsna hoolimatu olnud. Kas võib juhtuda, et rühmitus kasutab oma tõelise eesmärgi - küberspionaaži - varjamiseks ära lunavara rünnakuid?
Trueseci sõnul viitavad tõendid sellele, et Evil Corp on muutunud "palgasõdurite spionaažiorganisatsiooniks" Vene luure poolt, kuid peidus küberkuritegevuse rõnga fassaadi taha, hägustades kuritegevuse ja kuritegevuse vahelise piiri spionaaž. "
Yakubetsil on väidetavalt tihedad sidemed föderaalse julgeolekuteenistusega (FSB) - Nõukogude Liidu KGB peamise õigusjärglase agentuuriga. Väidetavalt abiellus ta 2017. aasta suvel FSB kõrge ohvitseri Eduard Bendersky tütrega.
Kuhu Evil Corp järgmisena lööb?
Evil Corp on kasvanud keerukaks rühmituseks, mis on võimeline korraldama kõrgetasemelisi rünnakuid suuremate institutsioonide vastu. Nagu käesolevas artiklis rõhutatakse, on selle liikmed tõestanud, et suudavad kohaneda erinevate hädadega - muutes need veelgi ohtlikumaks.
Kuigi keegi ei tea, kuhu nad järgmisena löövad, toob grupi edu esile selle, kui tähtis on kaitsta end veebis ja mitte klõpsata kahtlastel linkidel.
Küberkuritegevus on oht, mis paneb meid kõiki proovile. Ennetamine nõuab haridust, seega on aeg õppida tundma kõige halvemaid küberkuritegevuse rühmitusi.
Loe edasi
- Turvalisus
- Häkkimine
- Turvalisus Internetis
- Turvalisus
Damir on vabakutseline kirjanik ja reporter, kelle töö keskendub küberturvalisusele. Lisaks kirjutamisele naudib ta lugemist, muusikat ja filmi.
Telli meie uudiskiri
Liituge meie uudiskirjaga, et saada tehnilisi näpunäiteid, ülevaateid, tasuta e -raamatuid ja eksklusiivseid pakkumisi!
Tellimiseks klõpsake siin
