Министарство правде Сједињених Држава поднело је 2019. године тужбу против руског држављанина Максима Јакубеца, нудећи награду од 5 милиона долара за информације које су довеле до његовог хапшења.

Нико није дошао са информацијама које би омогућиле америчким властима да ухвате досад недостижне и мистериозне Иакубете. Још увек је на слободи, као вођа Евил Цорп -а - једне од најзлогласнијих и најуспешнијих хакерских група свих времена.

Активно од 2009. године, Евил Цорп - познато и као банда Дридек или ИНДРИК СПИДЕР - уложио је континуирани напад на корпоративних субјеката, банака и финансијских институција широм света, украли стотине милиона долара у процес.

Хајде да погледамо колико је ова група опасна.

Еволуција зла Цорп

Методе Евил Цорп -а су се знатно промениле током година, постепено еволуирајући од типичне, финансијски мотивисане хакерске групе за црне шешире до изузетно софистициране одеће за сајбер криминал.

Када је Министарство правде подигло оптужницу против Иакубетса 2019

instagram viewer
Министарство финансија САДКанцеларија за контролу стране имовине (ОФАЦ) издала је санкције против Евил Цорп. Пошто се санкције примењују и на сваку компанију која плаћа откупнину Евил Цорп -у или олакшава плаћање, група се морала прилагодити.

Евил Цорп је користио огроман арсенал злонамерног софтвера за циљање организација. У следећим одељцима ћемо погледати оне најзлогласније.

Дридек

Такође познат као Бугат и Цридек, Дридек је први пут откривен 2011. Класични банкарски тројанац који дели многе сличности са злогласним Зеусом, Дридек је дизајниран за крађу банковних података и обично се користи путем е -поште.

Користећи Дридек, Евил Цорп је успео да украде више од 100 милиона долара од финансијских институција у преко 40 земаља. Злонамерни софтвер се стално ажурира новим функцијама и остаје активна глобална претња.

Лоцки

Лоцки инфицира мреже путем злонамерних прилога у пхисхинг е -порукама. Прилог, документ Мицрософт Ворд, садржи макро вирусе. Када жртва отвори документ који није читљив, појављује се оквир за дијалог са изразом: "Омогући макро ако је кодирање података нетачно".

Ова једноставна техника друштвеног инжењеринга обично превари жртву да омогући макрое, који се чувају и изводе као бинарна датотека. Бинарна датотека аутоматски преузима шифровани тројанац, који закључава датотеке на уређају и усмерава корисника на веб локацију захтевајући откупнину.

Барт

Барт се обично поставља као фотографија путем е -поште за „пецање“. Скенира датотеке на уређају тражећи одређене екстензије (музику, видео записе, фотографије итд.) И закључава их у ЗИП архиву заштићену лозинком.

Једном када жртва покуша распаковати ЗИП архиву, добија се порука о откупнини (на енглеском, Немачки, француски, италијански или шпански, у зависности од локације) и речено им је да поднесу откупнину у Битцоин.

Јафф

Када је први пут примењен, Јафф рансомваре је пролетео испод радара јер су се и стручњаци за сајбер безбедност и штампа усредсредили на ВаннаЦри. Међутим, то не значи да није опасно.

Слично као и Лоцки, Јафф стиже као прилог е -поште - обично као ПДФ документ. Када жртва отвори документ, видеће искачући прозор са питањем да ли жели да отвори датотеку. Када то ураде, макрои се извршавају, покрећу као бинарна датотека и шифрују датотеке на уређају.

БитПаимер

Евил Цорп је неславно користио рансомваре БитПаимер за циљање болница у Великој Британији 2017. Развијен за циљање великих организација, БитПаимер се обично испоручује нападима грубе силе и захтева велике откупнине.

Повезан:Шта су напади грубе силе? Како се заштитити

Најновије итерације БитПаимера кружиле су кроз лажна ажурирања за Фласх и Цхроме. Једном када добије приступ мрежи, овај рансомваре закључава датотеке користећи више алгоритама за шифровање и оставља белешку о откупнини.

ВастедЛоцкер

Након што га је Министарство финансија санкционисало, Евил Цорп је прошао испод радара. Али не за дуго; група се поново појавила 2020. године са новим, сложеним рансомваре -ом под називом ВастедЛоцкер.

ВастедЛоцкер обично циркулише у лажним ажурирањима прегледача, који се често приказују на легитимним веб локацијама - попут вести.

Након што жртва преузме лажно ажурирање, ВастедЛоцкер прелази на друге машине на мрежи и врши ескалирање привилегија (добија неовлашћен приступ искоришћавањем безбедносних пропуста).

Након извршења, ВастедЛоцкер шифрира готово све датотеке којима може приступити и преименује их у укључује име жртве заједно са „узалуд потрошеним“ и захтева откупнину између 500.000 и 10 долара милион.

Хад

Први пут откривен у децембру 2020. године, изгледа да је рансомваре Евил Цорп'с Хадес ажурирана верзија ВастедЛоцкера.

Након добијања легитимних акредитива, инфилтрира се у системе путем поставки Виртуал Привате Нетворк (ВПН) или Ремоте Десктоп Протоцол (РДП), обично нападима грубе силе.

Када слети на машину жртве, Хадес се реплицира и поново покреће кроз командну линију. Покреће се извршна датотека која дозвољава злонамерном софтверу да скенира систем и шифрује датотеке. Злонамерни софтвер тада оставља белешку о откупнини, упућујући жртву да инсталира Тор и посети веб адресу.

Значајно је да су веб странице Хад листа прилагођене за сваку мету. Чини се да Хад има искључиво циљане организације са годишњим приходом већим од милијарду долара.

ПаилоадБИН

Чини се да се Евил Цорп лажно представља као хакерска група Бабук и примењује ПаилоадБИН рансомваре.

ПОВЕЗАН: Шта је Бабук Лоцкер? Банда откупљивача о којој бисте требали знати

Први пут примећен 2021. године, ПаилоадБИН шифрује датотеке и додаје „.ПАИЛОАДБИН“ као ново проширење, а затим испоручује откупну поруку.

Сумња се у везу са руском обавештајном службом

Консултантска компанија за безбедност ТруесецАнализа инцидената рансомваре-а који укључују Евил Цорп открила је да је група користила сличне технике које су хакери које подржава влада користили за извођење разарајућих напада Напад СоларВиндса у 2020.

Иако изузетно способни, Евил Цорп је био прилично ноншалантан у извлачењу откупнине, открили су истраживачи. Да ли је могуће да група примењује нападе рансомваре -а као тактику одвраћања пажње како би прикрила свој прави циљ: сајбер шпијунажу?

Према Труесецу, докази указују на то да се Евил Цорп "претворио у плаћеничку шпијунажу коју контролише од стране руске обавештајне службе, али се крије иза фасаде ланца сајбер криминала, замагљујући границе између криминала и шпијунажа “.

За Иакубетса се каже да је блиско повезан са Федералном службом безбедности (ФСБ) - главном агенцијом наследницом КГБ -а Совјетског Савеза. Наводно се оженио ћерком високог официра ФСБ-а Едуарда Бендерског у лето 2017. године.

Где ће Евил Цорп следећи ударити?

Евил Цорп је израстао у софистицирану групу способну за извођење великих напада на велике институције. Као што овај чланак наглашава, његови чланови су доказали да се могу прилагодити различитим недаћама - чинећи их још опаснијим.

Иако нико не зна где ће следеће ударити, успех групе наглашава важност заштите на мрежи и не кликање на сумњиве везе.

ОбјавиТвеетЕмаил
5 најозлоглашенијих организованих група за сајбер криминал

Сајбер криминал је претња која изазива све нас. Превенција захтева образовање, па је време да научите о најгорим групама сајбер криминала.

Прочитајте следеће

Повезане теме
  • Сигурност
  • Хакирање
  • Безбедност на мрежи
  • Сигурност
О аутору
Дамир Мујезиновић (4 објављена чланка)

Дамир је слободни писац и извештач чији се рад фокусира на сајбер безбедност. Осим писања, ужива у читању, музици и филму.

Више од Дамира Мујезиновића

Претплатите се на наш билтен

Придружите се нашем билтену за техничке савете, критике, бесплатне е -књиге и ексклузивне понуде!

Кликните овде да бисте се претплатили