Evil Corp: глубокое погружение в одну из самых известных хакерских групп в мире
В 2019 году Министерство юстиции США предъявило обвинение гражданину России Максиму Якубцу, предложив вознаграждение в размере 5 миллионов долларов за информацию, приведшую к его аресту.
Пока никто не сообщил информации, которая позволила бы властям США запечатлеть неуловимого и загадочного Якубца. Он все еще на свободе, как лидер Evil Corp – одной из самых известных и успешных хакерских групп всех времен.
Действующая с 2009 года Evil Corp, также известная как банда Dridex или INDRIK SPIDER, нанесла непрекращающийся удар по корпоративным структурам, банкам и финансовым учреждениям по всему миру, похитив при этом сотни миллионов долларов.
Давайте посмотрим, насколько опасна эта группа.
Эволюция Evil Corp.
Методы Evil Corp за прошедшие годы значительно изменились, поскольку она постепенно превратилась из типичной финансово мотивированной хакерской группы в исключительно изощренную киберпреступную организацию.
Когда в 2019 году Министерство юстиции предъявило обвинение Якубцу, Управление по контролю за иностранными активами (OFAC) Министерства финансов США ввело санкции против Evil Corp. группе пришлось адаптироваться.
Evil Corp использовала обширный арсенал вредоносных программ для нацеливания на организации. В следующих разделах будут рассмотрены наиболее известные из них.
Дридекс
Также известный как Bugat и Cridex, Dridex был впервые обнаружен в 2011 году. Классический банковский троян, имеющий много общего с печально известным Zeus, Dridex предназначен для кражи банковской информации и обычно распространяется через электронную почту.
Используя Dridex, Evil Corp удалось украсть более 100 миллионов долларов из финансовых учреждений в более чем 40 странах. Вредоносная программа постоянно пополняется новыми функциями и остается активной угрозой во всем мире.
Локки
Locky заражает сети через вредоносные вложения в фишинговых письмах. Вложение, документ Microsoft Word, содержит макровирусы . Когда жертва открывает документ, который не читается, появляется диалоговое окно с фразой: «Включить макрос, если кодировка данных неверна».
Этот простой метод социальной инженерии обычно обманом заставляет жертву активировать макросы, которые сохраняются и запускаются как двоичный файл. Бинарный файл автоматически загружает троян-шифровальщик, который блокирует файлы на устройстве и направляет пользователя на веб-сайт с требованием выкупа.
Барт
Барт обычно размещается в виде фото в фишинговых письмах. Он сканирует файлы на устройстве в поисках определенных расширений (музыка, видео, фотографии и т. Д.) И блокирует их в защищенных паролем ZIP-архивах.
Как только жертва пытается распаковать ZIP-архив, ей предоставляется записка о выкупе (на английском, немецком, французском, итальянском или испанском языках, в зависимости от местоположения) и предлагается отправить выкуп в биткойнах.
Jaff
При первом запуске программа-вымогатель Jaff оставалась незамеченной, потому что и эксперты по кибербезопасности, и пресса сосредоточили внимание на WannaCry. Однако это не значит, что это не опасно.
Как и Локки, Jaff приходит в виде вложения к электронному письму – обычно в виде PDF-документа. Как только жертва открывает документ, она видит всплывающее окно с вопросом, хотят ли они открыть файл. Как только они это сделают, макросы выполняются, запускаются как двоичный файл и шифруют файлы на устройстве.
BitPaymer
Компания Evil Corp, как известно, использовала программу-вымогатель BitPaymer для нацеливания на больницы в Великобритании в 2017 году. BitPaymer, разработанный для крупных организаций, обычно доставляется с помощью грубой силы и требует высоких выкупов.
Более поздние версии BitPaymer распространялись через поддельные обновления Flash и Chrome. Получив доступ к сети, эта программа-вымогатель блокирует файлы, используя несколько алгоритмов шифрования, и оставляет записку о выкупе.
WastedLocker
После санкции Министерства финансов Evil Corp оказалась незамеченной. Но не надолго; группа вновь появилась в 2020 году с новой сложной программой-вымогателем под названием WastedLocker.
WastedLocker обычно распространяется в виде поддельных обновлений браузера, часто отображаемых на законных веб-сайтах, таких как новостные.
Как только жертва загружает поддельное обновление, WastedLocker перемещается на другие машины в сети и выполняет эскалацию привилегий (получает несанкционированный доступ, используя уязвимости безопасности).
После выполнения WastedLocker шифрует практически все файлы, к которым он может получить доступ, и переименовывает их, включая имя жертвы вместе со словом «потрачено впустую», и требует выкупа в размере от 500 000 до 10 миллионов долларов.
Аид
Программа-вымогатель Hades от Evil Corp., впервые обнаруженная в декабре 2020 года, представляет собой обновленную версию WastedLocker.
После получения законных учетных данных он проникает в системы через виртуальную частную сеть (VPN) или протокол удаленного рабочего стола (RDP), обычно с помощью атак грубой силы.
После приземления на машину жертвы Hades копирует себя и перезапускается через командную строку. Затем запускается исполняемый файл, позволяющий вредоносной программе сканировать систему и шифровать файлы. Затем вредоносная программа оставляет записку о выкупе, предлагая жертве установить Tor и посетить веб-адрес.
Примечательно, что веб-адреса, которые оставляет Аид, настраиваются для каждой цели. Похоже, что Hades нацелился исключительно на организации с годовым доходом, превышающим 1 миллиард долларов.
PayloadBIN
Evil Corp, похоже, выдает себя за хакерскую группу Бабука и развертывает вымогатель PayloadBIN.
Впервые обнаруженный в 2021 году, PayloadBIN шифрует файлы и добавляет «.PAYLOADBIN» в качестве нового расширения, а затем отправляет записку с требованием выкупа.
Подозреваемые связи с российской разведкой
Проведенный консалтинговой компанией Truesec по вопросам безопасности анализ инцидентов с использованием программ-вымогателей с участием Evil Corp показал, что группа использовала аналогичные методы, которые поддерживаемые правительством российские хакеры использовали для проведения разрушительной атаки SolarWinds в 2020 году.
Исследователи обнаружили, что несмотря на свои огромные возможности, Evil Corp довольно беспечно относится к получению выкупа. Может быть, группа использует атаки программ-вымогателей как отвлекающий маневр, чтобы скрыть свою истинную цель: кибершпионаж?
По словам Трюсека, данные свидетельствуют о том, что Evil Corp «превратилась в наемную шпионскую организацию, контролируемую российской разведкой, но скрывающуюся за фасадом сети киберпреступников, стирая границы между преступностью и шпионажем».
Говорят, что Якубец тесно связан с Федеральной службой безопасности (ФСБ) – главным правопреемником КГБ Советского Союза. Сообщается, что летом 2017 года он женился на дочери высокопоставленного офицера ФСБ Эдуарда Бендерского.
Где нанесет следующий удар Evil Corp?
Evil Corp превратилась в изощренную группу, способную проводить громкие атаки на крупные учреждения. Как подчеркивается в этой статье, его члены доказали, что они могут адаптироваться к различным невзгодам, что делает их еще более опасными.
Хотя никто не знает, где они нанесут следующий удар, успех группы подчеркивает важность защиты себя в Интернете и не переходить по подозрительным ссылкам.