Evil Corp: un tuffo profondo in uno dei gruppi di hacker più famosi al mondo

Nel 2019, il Dipartimento di Giustizia degli Stati Uniti ha sporto denuncia contro il cittadino russo Maksim Yakubets, offrendo una ricompensa di $ 5 milioni per le informazioni che hanno portato al suo arresto.

Finora nessuno ha fornito informazioni che consentirebbero alle autorità statunitensi di catturare gli sfuggenti e misteriosi Yakubet. È ancora in libertà, come leader della Evil Corp, uno dei gruppi di hacker più famosi e di successo di tutti i tempi.

Attivo dal 2009, Evil Corp, noto anche come Dridex gang o INDRIK SPIDER, ha scommesso un assalto prolungato su entità aziendali, banche e istituzioni finanziarie in tutto il mondo, rubando centinaia di milioni di dollari nel processi.

Diamo un'occhiata a quanto sia pericoloso questo gruppo.

L'evoluzione di Evil Corp

I metodi di Evil Corp sono cambiati considerevolmente nel corso degli anni, evolvendosi gradualmente da un tipico gruppo di hacker black hat motivati ​​finanziariamente a un gruppo di criminali informatici eccezionalmente sofisticato.

Quando il Dipartimento di Giustizia ha incriminato Yakubets nel 2019, il Dipartimento del Tesoro degli Stati UnitiL'Office of Foreign Assets Control (OFAC) ha emesso sanzioni contro Evil Corp. Poiché le sanzioni si applicano anche a qualsiasi azienda che paghi un riscatto alla Evil Corp o ne faciliti un pagamento, il gruppo ha dovuto adeguarsi.

Evil Corp ha utilizzato un vasto arsenale di malware per colpire le organizzazioni. Le sezioni seguenti esamineranno i più noti.

Dridex

Conosciuto anche come Bugat e Cridex, Dridex è stato scoperto per la prima volta nel 2011. Un classico trojan bancario che condivide molte somiglianze con il famigerato Zeus, Dridex è progettato per rubare informazioni bancarie e viene generalmente distribuito tramite e-mail.

Usando Dridex, Evil Corp è riuscita a rubare più di $ 100 milioni da istituzioni finanziarie in oltre 40 paesi. Il malware viene costantemente aggiornato con nuove funzionalità e rimane una minaccia attiva a livello globale.

Locky

Locky infetta le reti tramite allegati dannosi nelle e-mail di phishing. L'allegato, un documento di Microsoft Word, contiene macrovirus. Quando la vittima apre il documento, che non è leggibile, appare una finestra di dialogo con la frase: "Abilita macro se la codifica dei dati non è corretta".

Questa semplice tecnica di ingegneria sociale di solito induce la vittima ad abilitare le macro, che vengono salvate ed eseguite come file binario. Il file binario scarica automaticamente il trojan di crittografia, che blocca i file sul dispositivo e indirizza l'utente a un sito Web che richiede il pagamento di un riscatto.

Bart

Bart viene solitamente distribuito come foto tramite e-mail di phishing. Esegue la scansione dei file su un dispositivo alla ricerca di determinate estensioni (musica, video, foto, ecc.) e li blocca in archivi ZIP protetti da password.

Una volta che la vittima tenta di decomprimere l'archivio ZIP, gli viene presentata una richiesta di riscatto (in inglese, tedesco, francese, italiano o spagnolo, a seconda della località) e gli è stato detto di inviare un pagamento del riscatto in Bitcoin.

Jaff

Quando è stato distribuito per la prima volta, il ransomware Jaff è passato inosservato perché sia ​​gli esperti di sicurezza informatica che la stampa si sono concentrati su WannaCry. Tuttavia, ciò non significa che non sia pericoloso.

Proprio come Locky, Jaff arriva come allegato di posta elettronica, di solito come documento PDF. Una volta che la vittima apre il documento, vede un pop-up che chiede se vuole aprire il file. Una volta che lo fanno, le macro vengono eseguite, eseguite come file binario e crittografate i file sul dispositivo.

BitPaymer

Evil Corp ha usato il ransomware BitPaymer per colpire gli ospedali nel Regno Unito nel 2017. Sviluppato per prendere di mira le principali organizzazioni, BitPaymer viene in genere fornito tramite attacchi di forza bruta e richiede pagamenti di riscatto elevati.

Imparentato:Cosa sono gli attacchi di forza bruta? Come proteggersi

Iterazioni più recenti di BitPaymer sono circolate tramite falsi aggiornamenti di Flash e Chrome. Una volta ottenuto l'accesso a una rete, questo ransomware blocca i file utilizzando più algoritmi di crittografia e lascia una richiesta di riscatto.

WastedLocker

Dopo essere stata sanzionata dal Dipartimento del Tesoro, la Evil Corp è passata sotto il radar. Ma non per molto; il gruppo è riemerso nel 2020 con un nuovo e complesso ransomware chiamato WastedLocker.

WastedLocker di solito circola in falsi aggiornamenti del browser, spesso visualizzati su siti Web legittimi, come i siti di notizie.

Una volta che la vittima scarica l'aggiornamento falso, WastedLocker si sposta su altre macchine della rete ed esegue l'escalation dei privilegi (ottene l'accesso non autorizzato sfruttando le vulnerabilità della sicurezza).

Dopo l'esecuzione, WastedLocker crittografa praticamente tutti i file a cui può accedere e li rinomina includi il nome della vittima insieme a "sprecato" e richiede il pagamento di un riscatto tra $ 500.000 e $ 10 milioni.

Ade

Scoperto per la prima volta nel dicembre 2020, il ransomware Hades di Evil Corp sembra essere una versione aggiornata di WastedLocker.

Dopo aver ottenuto credenziali legittime, si infiltra nei sistemi tramite le configurazioni di Virtual Private Network (VPN) o Remote Desktop Protocol (RDP), solitamente tramite attacchi di forza bruta.

Dopo essere atterrato sulla macchina di una vittima, Hades si replica e si riavvia attraverso la riga di comando. Viene quindi avviato un eseguibile, che consente al malware di scansionare il sistema e crittografare i file. Il malware lascia quindi una richiesta di riscatto, indicando alla vittima di installare Tor e visitare un indirizzo web.

In particolare, gli indirizzi web lasciati da Hades sono personalizzati per ciascun target. Sembra che Ade abbia preso di mira esclusivamente organizzazioni con ricavi annuali superiori a 1 miliardo di dollari.

PayloadBIN

Evil Corp sembra impersonare il gruppo di hacker Babuk e distribuire il ransomware PayloadBIN.

IMPARENTATO: Cos'è l'armadietto Babuk? La banda del ransomware che dovresti conoscere

Individuato per la prima volta nel 2021, PayloadBIN crittografa i file e aggiunge ".PAYLOADBIN" come nuova estensione, quindi invia una richiesta di riscatto.

Sospetti legami con l'intelligence russa

La società di consulenza sulla sicurezza TruesecL'analisi degli incidenti di ransomware che coinvolgono Evil Corp ha rivelato che il gruppo ha utilizzato tecniche simili utilizzate dagli hacker sostenuti dal governo russo per eseguire il devastante Attacco SolarWinds nel 2020.

Sebbene estremamente capace, Evil Corp è stata piuttosto disinvolta nell'estrarre i pagamenti del riscatto, hanno scoperto i ricercatori. Potrebbe essere che il gruppo distribuisca attacchi ransomware come tattica di distrazione per nascondere il suo vero obiettivo: lo spionaggio informatico?

Secondo Truesec, le prove suggeriscono che Evil Corp si è "trasformata in un'organizzazione di spionaggio mercenaria controllata" dall'intelligence russa ma nascondendosi dietro la facciata di un anello di criminalità informatica, confondendo i confini tra crimine e spionaggio."

Si dice che Yakubets abbia stretti legami con il Servizio di sicurezza federale (FSB), la principale agenzia successore del KGB dell'Unione Sovietica. Secondo quanto riferito, nell'estate del 2017 ha sposato la figlia dell'alto ufficiale dell'FSB Eduard Bendersky.

Dove colpirà la Evil Corp?

Evil Corp è diventata un gruppo sofisticato in grado di eseguire attacchi di alto profilo alle principali istituzioni. Come evidenzia questo articolo, i suoi membri hanno dimostrato di potersi adattare a diverse avversità, rendendole ancora più pericolose.

Sebbene nessuno sappia dove colpiranno, il successo del gruppo evidenzia l'importanza di proteggersi online e di non fare clic su collegamenti sospetti.

Le 5 gang di cybercrime organizzato più famose

Il crimine informatico è una minaccia che sfida tutti noi. La prevenzione richiede educazione, quindi è tempo di conoscere i peggiori gruppi di criminalità informatica.

Leggi Avanti

Circa l'autore