Evil Corp: dziļa ieniršana vienā no pasaules bēdīgi slavenākajām hakeru grupām

Gadā ASV Tieslietu ministrija iesniedza apsūdzības Krievijas valstspiederīgajam Maksimam Jakubetam, piedāvājot 5 miljonu dolāru atlīdzību par informāciju, kas noveda pie viņa aresta.

Neviens līdz šim nav nācis klajā ar informāciju, kas ļautu ASV varas iestādēm notvert nenotveramo un noslēpumaino Jakubetu. Viņš joprojām ir brīvībā kā Evil Corp vadītājs - viena no visu laiku bēdīgi slavenākajām un veiksmīgākajām hakeru grupām.

Evil Corp, kas pazīstams arī kā Dridex banda vai INDRIK SPIDER, darbojas kopš 2009. gada un ir ilgstoši uzbrucis korporācijas, bankas un finanšu iestādes visā pasaulē, nozogot simtiem miljonu dolāru process.

Apskatīsim, cik bīstama ir šī grupa.

Ļaunā evolūcija Corp

Evil Corp metodes gadu gaitā ir ievērojami mainījušās, pakāpeniski attīstoties no tipiskas, finansiāli motivētas melno cepuru hakeru grupas līdz ārkārtīgi sarežģītam kibernoziegumu tērpam.

Kad Tieslietu departaments 2019. gadā izvirzīja apsūdzību Jakubetam, ASV Valsts kases departamentsĀrvalstu aktīvu kontroles birojs (OFAC) ieviesa sankcijas pret Evil Corp. Tā kā sankcijas attiecas arī uz jebkuru uzņēmumu, kas maksā izpirkuma maksu Evil Corp vai atvieglo maksājumu, grupai ir bijis jāpielāgojas.

Evil Corp ir izmantojis milzīgu ļaunprātīgas programmatūras arsenālu, lai mērķētu uz organizācijām. Turpmākajās sadaļās tiks apskatīti bēdīgi slavenākie.

Dridex

Dridex, kas pazīstams arī kā Bugat un Cridex, pirmo reizi tika atklāts 2011. Klasisks banku Trojas zirgs, kuram ir daudz līdzību ar bēdīgi slaveno Zevu, Dridex ir paredzēts banku informācijas zagšanai, un parasti tas tiek izvietots pa e -pastu.

Izmantojot Dridex, Evil Corp ir izdevies nozagt vairāk nekā 100 miljonus ASV dolāru no finanšu iestādēm vairāk nekā 40 valstīs. Ļaunprātīga programmatūra tiek pastāvīgi atjaunināta ar jaunām funkcijām un joprojām ir aktīvs drauds visā pasaulē.

Bloķēts

Locky inficē tīklus, izmantojot ļaunprātīgus pielikumus pikšķerēšanas e -pastos. Pielikums, Microsoft Word dokuments, satur makro vīrusus. Kad cietušais atver dokumentu, kas nav lasāms, parādās dialoglodziņš ar frāzi: "Iespējot makro, ja datu kodējums ir nepareizs".

Šī vienkāršā sociālās inženierijas tehnika upurim parasti liek maldināt makro, kas tiek saglabāts un darbojas kā binārs fails. Binārais fails automātiski lejupielādē šifrēšanas Trojas zirgu, kas bloķē failus ierīcē un novirza lietotāju uz vietni, kurā tiek prasīts izpirkuma maksājums.

Bārts

Bārts parasti tiek izvietots kā fotoattēls, izmantojot pikšķerēšanas e -pastus. Tas skenē ierīcē esošos failus, meklējot noteiktus paplašinājumus (mūziku, videoklipus, fotoattēlus utt.), Un bloķē tos ar paroli aizsargātos ZIP arhīvos.

Kad upuris mēģina izpakot ZIP arhīvu, viņam tiek izsniegta izpirkuma maksa (angļu valodā, Vācu, franču, itāļu vai spāņu, atkarībā no atrašanās vietas), un viņiem tika lūgts iesniegt izpirkuma maksu Bitcoin.

Džefs

Pirmoreiz izvietojot, Jaff izpirkuma programmatūra lidoja zem radara, jo gan kiberdrošības eksperti, gan prese koncentrējās uz WannaCry. Tomēr tas nenozīmē, ka tas nav bīstams.

Līdzīgi kā Locky, Džefs ierodas kā e -pasta pielikums - parasti kā PDF dokuments. Kad upuris atver dokumentu, viņš redz uznirstošo logu, kurā tiek jautāts, vai viņš vēlas atvērt failu. Pēc tam makro izpilda, palaiž kā bināru failu un šifrē ierīcē esošos failus.

BitPaymer

Evil Corp 2017. gadā bēdīgi izmantoja BitPaymer izpirkuma programmatūru, lai mērķētu uz slimnīcām Apvienotajā Karalistē. BitPaymer, kas izstrādāts mērķauditorijai pēc lielām organizācijām, parasti tiek piegādāts ar brutālu spēku uzbrukumiem un prasa lielus izpirkuma maksājumus.

Saistīts:Kas ir brutālu spēku uzbrukumi? Kā sevi pasargāt

Jaunākie BitPaymer atkārtojumi ir izplatījušies, izmantojot viltotus Flash un Chrome atjauninājumus. Tiklīdz šī izpirkuma programmatūra iegūst piekļuvi tīklam, tā bloķē failus, izmantojot vairākus šifrēšanas algoritmus, un atstāj izpirkuma piezīmi.

WastedLocker

Pēc tam, kad Valsts kases departaments saņēma sankcijas, ļaunais korpuss nonāca zem radara. Bet ne uz ilgu laiku; gadā grupa atkal apvienojās ar jaunu, sarežģītu izpirkuma programmatūru ar nosaukumu WastedLocker.

WastedLocker parasti izplatās viltus pārlūka atjauninājumos, kas bieži tiek rādīti likumīgās vietnēs, piemēram, ziņu vietnēs.

Kad upuris lejupielādē viltus atjauninājumu, WastedLocker pāriet uz citām tīkla iekārtām un veic privilēģiju palielināšanu (iegūst neatļautu piekļuvi, izmantojot drošības ievainojamības).

Pēc izpildes WastedLocker šifrē praktiski visus failus, kuriem tā var piekļūt, un pārdēvē tos ietver upura vārdu kopā ar “izšķērdēts” un pieprasa izpirkuma maksu no 500 000 līdz 10 USD miljons.

Hades

Izpirkuma programmatūra Evil Corp, kas pirmo reizi tika atklāta 2020. gada decembrī, šķiet, ir atjaunināta WastedLocker versija.

Pēc likumīgu akreditācijas datu iegūšanas tas iekļūst sistēmās, izmantojot virtuālā privātā tīkla (VPN) vai attālās darbvirsmas protokola (RDP) iestatījumus, parasti izmantojot brutālu spēku uzbrukumus.

Nokāpjot uz upura mašīnas, Hades atkārtojas un atsāk darbību, izmantojot komandrindu. Pēc tam tiek palaists izpildāms fails, ļaujot ļaunprātīgai programmatūrai skenēt sistēmu un šifrēt failus. Ļaunprātīga programmatūra pēc tam atstāj izpirkuma maksu, liekot upurim instalēt Tor un apmeklēt tīmekļa adresi.

Proti, tīmekļa adreses Hades lapas tiek pielāgotas katram mērķim. Šķiet, ka Hades ir mērķētas tikai uz organizācijām, kuru gada ieņēmumi pārsniedz 1 miljardu ASV dolāru.

PayloadBIN

Šķiet, ka Evil Corp uzdodas par Babuk hakeru grupu un izvieto izpirkuma programmatūru PayloadBIN.

SAISTĪTI: Kas ir Babuk skapītis? Ransomware banda, kas jums jāzina

Pirmo reizi 2021. gadā pamanītā PayloadBIN šifrē failus un kā jaunu paplašinājumu pievieno ".PAYLOADBIN" un pēc tam piegādā izpirkuma maksu.

Aizdomas par saistību ar Krievijas izlūkošanu

Drošības konsultāciju uzņēmums TruesecAnalizējot izpirkuma programmatūras incidentus, kuros iesaistīts ļaunais korpuss, atklājās, ka grupa ir izmantojusi līdzīgas metodes, ko Krievijas valdības atbalstītie hakeri izmantoja postošo pasākumu veikšanai SolarWinds uzbrukums 2020. gadā.

Lai gan Evil Corp ir ārkārtīgi spējīgs, viņš ir diezgan vienaldzīgs par izpirkuma maksājumu iegūšanu, atklāja pētnieki. Vai varētu būt tā, ka grupa izmanto izpirkuma programmatūras uzbrukumus kā uzmanības novēršanas taktiku, lai slēptu savu patieso mērķi - kiberspiegošanu?

Pēc Trueseca teiktā, pierādījumi liecina, ka ļaunais korpuss ir "pārvērties par algotņu spiegošanas organizāciju, kuru kontrolē Krievijas izlūkdienests, bet slēpjas aiz kibernoziegumu apļa fasādes, izjaucot robežas starp noziedzību un spiegošana. "

Jakubetsam ir ciešas saites ar Federālo drošības dienestu (FSB) - galveno Padomju Savienības VDK aģentūru. Kā ziņots, 2017. gada vasarā viņš apprecējās ar augsta ranga FSB virsnieka Eduarda Benderska meitu.

Kur ļaunais korpuss streiks tālāk?

Evil Corp ir kļuvis par sarežģītu grupu, kas spēj veikt augsta līmeņa uzbrukumus lielām iestādēm. Kā uzsvērts šajā rakstā, tā dalībnieki ir pierādījuši, ka spēj pielāgoties dažādām nelaimēm, padarot tās vēl bīstamākas.

Lai gan neviens nezina, kur viņi streiks tālāk, grupas panākumi uzsver, cik svarīgi ir aizsargāt sevi tiešsaistē un neklikšķināt uz aizdomīgām saitēm.

Piecas bēdīgi slavenākās organizētās kibernoziedzības bandas

Kibernoziedzība ir drauds, kas izaicina mūs visus. Profilaksei nepieciešama izglītība, tāpēc ir pienācis laiks uzzināt par vissliktākajām kibernoziegumu grupām.

Lasīt Tālāk

Par autoru