Evil Corp: een diepe duik in een van 's werelds meest beruchte hackersgroepen

In 2019 diende het Amerikaanse ministerie van Justitie een aanklacht in tegen de Russische staatsburger Maksim Yakubets, waarbij een beloning van $ 5 miljoen werd uitgeloofd voor informatie die tot zijn arrestatie leidde.

Niemand is naar voren gekomen met informatie waarmee de Amerikaanse autoriteiten de ongrijpbare en mysterieuze Yakubets tot nu toe kunnen vangen. Hij is nog steeds op vrije voeten, als de leider van Evil Corp - een van de meest beruchte en succesvolle hackersgroepen aller tijden.

Actief sinds 2009 heeft Evil Corp - ook bekend als de Dridex-bende of INDRIK SPIDER - een aanhoudende aanval ingezet op bedrijfsentiteiten, banken en financiële instellingen over de hele wereld, die honderden miljoenen dollars stelen in de Verwerken.

Laten we eens kijken hoe gevaarlijk deze groep is.

De evolutie van Evil Corp

De methoden van Evil Corp zijn in de loop der jaren aanzienlijk veranderd, omdat het geleidelijk evolueerde van een typische, financieel gemotiveerde black hat-hackergroep naar een uitzonderlijk geavanceerde cybercriminaliteit.

Toen het ministerie van Justitie Yakubets in 2019 aanklaagde, US Treasury DepartmentHet Office of Foreign Assets Control (OFAC) heeft sancties uitgevaardigd tegen Evil Corp. Aangezien de sancties ook gelden voor elk bedrijf dat losgeld betaalt aan Evil Corp of een betaling faciliteert, heeft de groep zich moeten aanpassen.

Evil Corp heeft een enorm arsenaal aan malware gebruikt om organisaties te targeten. In de volgende secties zullen de meest beruchte worden bekeken.

Dridex

Ook bekend als Bugat en Cridex, werd Dridex voor het eerst ontdekt in 2011. Dridex, een klassieke banktrojan die veel overeenkomsten vertoont met de beruchte Zeus, is ontworpen om bankgegevens te stelen en wordt meestal via e-mail ingezet.

Met behulp van Dridex is Evil Corp erin geslaagd meer dan $ 100 miljoen te stelen van financiële instellingen in meer dan 40 landen. De malware wordt voortdurend bijgewerkt met nieuwe functies en blijft wereldwijd een actieve bedreiging.

Locky

Locky infecteert netwerken via kwaadaardige bijlagen in phishing-e-mails. De bijlage, een Microsoft Word-document, bevat macrovirussen. Wanneer het slachtoffer het document opent, dat niet leesbaar is, verschijnt een dialoogvenster met de zin: "Macro inschakelen als gegevenscodering onjuist is".

Deze eenvoudige social engineering-techniek bedriegt het slachtoffer meestal om de macro's in te schakelen, die worden opgeslagen en uitgevoerd als een binair bestand. Het binaire bestand downloadt automatisch de coderingstrojan, die bestanden op het apparaat vergrendelt en de gebruiker naar een website leidt die losgeld eist.

Bart

Bart wordt meestal ingezet als foto via phishing mails. Het scant bestanden op een apparaat op zoek naar bepaalde extensies (muziek, video's, foto's, enz.) en vergrendelt ze in met een wachtwoord beveiligde ZIP-archieven.

Zodra het slachtoffer het ZIP-archief probeert uit te pakken, krijgt het een losgeldbriefje te zien (in het Engels, Duits, Frans, Italiaans of Spaans, afhankelijk van de locatie) en gevraagd om een ​​losgeld te betalen in Bitcoins.

Jaff

Toen het voor het eerst werd ingezet, vloog Jaff-ransomware onder de radar omdat zowel cyberbeveiligingsexperts als de pers zich op WannaCry concentreerden. Dat betekent echter niet dat het niet gevaarlijk is.

Net als Locky arriveert Jaff als een e-mailbijlage, meestal als een PDF-document. Zodra het slachtoffer het document opent, zien ze een pop-up met de vraag of ze het bestand willen openen. Zodra ze dat doen, worden macro's uitgevoerd, als een binair bestand uitgevoerd en bestanden op het apparaat versleuteld.

BitPaymer

Evil Corp gebruikte in 2017 berucht de BitPaymer-ransomware om ziekenhuizen in het VK aan te vallen. BitPaymer is ontwikkeld om zich op grote organisaties te richten en wordt meestal geleverd via brute-force-aanvallen en vereist hoge losgeldbetalingen.

Verwant:Wat zijn brute-force-aanvallen? Hoe u uzelf kunt beschermen?

Meer recente versies van BitPaymer zijn verspreid via valse Flash- en Chrome-updates. Zodra het toegang krijgt tot een netwerk, vergrendelt deze ransomware bestanden met behulp van meerdere versleutelingsalgoritmen en laat een losgeldbrief achter.

WastedLocker

Na gesanctioneerd te zijn door het ministerie van Financiën, ging Evil Corp onder de radar. Maar niet voor lang; de groep kwam in 2020 weer tevoorschijn met nieuwe, complexe ransomware genaamd WastedLocker.

WastedLocker circuleert meestal in valse browserupdates, die vaak worden weergegeven op legitieme websites, zoals nieuwssites.

Zodra het slachtoffer de nep-update downloadt, verplaatst WastedLocker zich naar andere machines op het netwerk en voert privilege-escalatie uit (verkrijgt ongeautoriseerde toegang door misbruik te maken van beveiligingsproblemen).

Na uitvoering versleutelt WastedLocker vrijwel alle bestanden waartoe het toegang heeft en hernoemt ze naar vermeld de naam van het slachtoffer samen met "verspild", en eist een losgeldbetaling tussen $ 500.000 en $ 10 miljoen.

Hades

De Hades-ransomware van Evil Corp werd voor het eerst ontdekt in december 2020 en lijkt een bijgewerkte versie van WastedLocker te zijn.

Nadat het legitieme inloggegevens heeft verkregen, infiltreert het systemen via Virtual Private Network (VPN) of Remote Desktop Protocol (RDP)-instellingen, meestal via brute-force-aanvallen.

Bij de landing op de machine van een slachtoffer, repliceert Hades zichzelf en start opnieuw via de opdrachtregel. Er wordt dan een uitvoerbaar bestand gestart, waardoor de malware het systeem kan scannen en bestanden kan versleutelen. De malware laat vervolgens een losgeldbriefje achter, waarin het slachtoffer wordt gevraagd Tor te installeren en een webadres te bezoeken.

Met name webadressen die Hades achterlaat, zijn aangepast voor elk doelwit. Hades lijkt zich uitsluitend te richten op organisaties met een jaaromzet van meer dan $ 1 miljard.

LaadvermogenBIN

Evil Corp lijkt zich voor te doen als de Babuk-hackergroep en de PayloadBIN-ransomware in te zetten.

VERWANT: Wat is Babuk Locker? De Ransomware-bende die u moet kennen

PayloadBIN werd voor het eerst opgemerkt in 2021 en versleutelt bestanden en voegt ".PAYLOADBIN" toe als een nieuwe extensie, en levert vervolgens een losgeldbrief.

Vermoedelijke banden met Russische inlichtingendienst

Het beveiligingsadviesbureau Truesec's analyse van ransomware-incidenten waarbij Evil Corp betrokken was, onthulde dat de groep vergelijkbare technieken heeft gebruikt die door de Russische overheid gesteunde hackers hebben gebruikt om de verwoestende SolarWinds-aanval anno 2020.

Hoewel zeer capabel, is Evil Corp nogal nonchalant geweest in het verkrijgen van losgeld, vonden de onderzoekers. Zou het kunnen dat de groep ransomware-aanvallen inzet als afleidingstactiek om zijn ware doel te verhullen: cyberspionage?

Volgens Truesec suggereert bewijs dat Evil Corp "is veranderd in een door huurlingen gecontroleerde spionageorganisatie". door de Russische inlichtingendienst, maar verstopt zich achter de façade van een cybercrime-ring, waardoor de scheidslijn tussen misdaad en spionage."

Yakubets zou nauwe banden hebben met de Federale Veiligheidsdienst (FSB), de belangrijkste opvolger van de KGB van de Sovjet-Unie. Naar verluidt trouwde hij in de zomer van 2017 met de dochter van de hooggeplaatste FSB-officier Eduard Bendersky.

Waar zal Evil Corp nu toeslaan?

Evil Corp is uitgegroeid tot een geavanceerde groep die in staat is om spraakmakende aanvallen uit te voeren op grote instellingen. Zoals dit artikel benadrukt, hebben de leden bewezen dat ze zich kunnen aanpassen aan verschillende tegenslagen, waardoor ze nog gevaarlijker worden.

Hoewel niemand weet waar ze de volgende keer zullen toeslaan, benadrukt het succes van de groep hoe belangrijk het is om jezelf online te beschermen en niet op verdachte links te klikken.

De 5 meest beruchte georganiseerde cybercriminaliteitsbendes

Cybercriminaliteit is een bedreiging die ons allemaal uitdaagt. Preventie vereist educatie, dus het is tijd om meer te weten te komen over de ergste cybercriminaliteitsgroepen.

Lees volgende

Over de auteur