Evil Corp: Ein tiefer Einblick in eine der berüchtigtsten Hackergruppen der Welt
Im Jahr 2019 erhob das US-Justizministerium Anklage gegen den russischen Staatsbürger Maksim Yakubets und bot eine Belohnung von 5 Millionen US-Dollar für Informationen an, die zu seiner Festnahme führten.
Niemand hat bisher Informationen vorgelegt, die es den US-Behörden ermöglichen würden, die schwer fassbaren und mysteriösen Yakubets zu fassen. Er ist immer noch auf freiem Fuß, als Anführer von Evil Corp – einer der berüchtigtsten und erfolgreichsten Hackergruppen aller Zeiten.
Die seit 2009 aktive Evil Corp – auch bekannt als Dridex-Gang oder INDRIK SPIDER – hat einen anhaltenden Angriff auf Unternehmen, Banken und Finanzinstitute auf der ganzen Welt gewagt und dabei Hunderte Millionen Dollar gestohlen.
Schauen wir uns an, wie gefährlich diese Gruppe ist.
Die Evolution von Evil Corp
Die Methoden von Evil Corp haben sich im Laufe der Jahre erheblich verändert, da sie sich allmählich von einer typischen, finanziell motivierten Black-Hat-Hacker-Gruppe zu einer außergewöhnlich raffinierten Cyberkriminalität entwickelt haben.
Als das Justizministerium Yakubets im Jahr 2019 anklagte, verhängte das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums Sanktionen gegen Evil Corp. Da die Sanktionen auch für jedes Unternehmen gelten, das an Evil Corp ein Lösegeld zahlt oder eine Zahlung ermöglicht, Gruppe musste sich anpassen.
Evil Corp hat ein riesiges Arsenal an Malware verwendet, um Unternehmen ins Visier zu nehmen. In den folgenden Abschnitten werden die berüchtigtsten betrachtet.
Dridex
Dridex, auch bekannt als Bugat und Cridex, wurde erstmals im Jahr 2011 entdeckt. Dridex ist ein klassischer Banking-Trojaner, der viele Ähnlichkeiten mit dem berüchtigten Zeus hat. Dridex wurde entwickelt, um Bankinformationen zu stehlen und wird normalerweise per E-Mail bereitgestellt.
Mit Dridex hat Evil Corp es geschafft, mehr als 100 Millionen US-Dollar von Finanzinstituten in über 40 Ländern zu stehlen. Die Malware wird ständig mit neuen Funktionen aktualisiert und bleibt weltweit eine aktive Bedrohung.
Locky
Locky infiziert Netzwerke über bösartige Anhänge in Phishing-E-Mails. Der Anhang, ein Microsoft Word-Dokument, enthält Makroviren . Wenn das Opfer das nicht lesbare Dokument öffnet, erscheint eine Dialogbox mit dem Satz: "Makro aktivieren, wenn die Datencodierung falsch ist".
Diese einfache Social-Engineering-Technik bringt das Opfer normalerweise dazu, die Makros zu aktivieren, die als Binärdatei gespeichert und ausgeführt werden. Die Binärdatei lädt automatisch den Verschlüsselungstrojaner herunter, der Dateien auf dem Gerät sperrt und den Benutzer auf eine Website leitet, die eine Lösegeldzahlung fordert.
Bart
Bart wird in der Regel als Foto über Phishing-E-Mails bereitgestellt. Es scannt Dateien auf einem Gerät nach bestimmten Erweiterungen (Musik, Videos, Fotos usw.) und sperrt sie in passwortgeschützten ZIP-Archiven.
Sobald das Opfer versucht, das ZIP-Archiv zu entpacken, wird ihm eine Lösegeldforderung (je nach Standort in Englisch, Deutsch, Französisch, Italienisch oder Spanisch) vorgelegt und aufgefordert, eine Lösegeldzahlung in Bitcoin zu leisten.
Jaff
Bei der ersten Bereitstellung war die Ransomware Jaff unter dem Radar, da sich sowohl Cybersicherheitsexperten als auch die Presse auf WannaCry konzentrierten. Das bedeutet jedoch nicht, dass es nicht gefährlich ist.
Ähnlich wie Locky kommt Jaff als E-Mail-Anhang an – normalerweise als PDF-Dokument. Sobald das Opfer das Dokument öffnet, wird ein Pop-up angezeigt, in dem gefragt wird, ob es die Datei öffnen möchte. Sobald dies der Fall ist, werden Makros ausgeführt, als Binärdatei ausgeführt und verschlüsseln Dateien auf dem Gerät.
BitPaymer
Evil Corp hat die BitPaymer-Ransomware 2017 berüchtigt verwendet, um Krankenhäuser in Großbritannien ins Visier zu nehmen. BitPaymer wurde für große Organisationen entwickelt und wird normalerweise über Brute-Force-Angriffe ausgeliefert und verlangt hohe Lösegeldzahlungen.
Neuere Iterationen von BitPaymer sind durch gefälschte Flash- und Chrome-Updates in Umlauf gekommen. Sobald sie Zugriff auf ein Netzwerk erhält, sperrt diese Ransomware Dateien mit mehreren Verschlüsselungsalgorithmen und hinterlässt eine Lösegeldforderung.
WastedLocker
Nach der Sanktionierung durch das Finanzministerium ging Evil Corp unter das Radar. Aber nicht lange; Die Gruppe tauchte 2020 mit einer neuen, komplexen Ransomware namens WastedLocker wieder auf.
WastedLocker zirkuliert normalerweise in gefälschten Browser-Updates, die oft auf legitimen Websites angezeigt werden, wie z. B. Nachrichtenseiten.
Sobald das Opfer das gefälschte Update heruntergeladen hat, wechselt WastedLocker auf andere Computer im Netzwerk und führt eine Rechteeskalation durch (erhält unbefugten Zugriff durch Ausnutzung von Sicherheitslücken).
Nach der Ausführung verschlüsselt WastedLocker praktisch alle Dateien, auf die es zugreifen kann, und benennt sie um, um den Namen des Opfers zusammen mit "verschwendet" aufzunehmen, und verlangt eine Lösegeldzahlung zwischen 500.000 und 10 Millionen US-Dollar.
Hades
Die Hades-Ransomware von Evil Corp, die erstmals im Dezember 2020 entdeckt wurde, scheint eine aktualisierte Version von WastedLocker zu sein.
Nach dem Erhalt legitimer Anmeldeinformationen infiltriert es Systeme über Virtual Private Network (VPN)- oder Remote Desktop Protocol (RDP)-Setups, normalerweise über Brute-Force-Angriffe.
Nach der Landung auf dem Computer eines Opfers repliziert sich Hades selbst und startet über die Befehlszeile neu. Anschließend wird eine ausführbare Datei gestartet, die es der Malware ermöglicht, das System zu scannen und Dateien zu verschlüsseln. Die Malware hinterlässt dann eine Lösegeldforderung, die das Opfer anweist, Tor zu installieren und eine Webadresse zu besuchen.
Insbesondere Webadressen, die Hades hinterlässt, werden für jedes Ziel angepasst. Hades scheint sich ausschließlich auf Organisationen mit einem Jahresumsatz von über 1 Milliarde US-Dollar konzentriert zu haben.
NutzlastBIN
Evil Corp scheint die Hackergruppe Babuk zu imitieren und die PayloadBIN-Ransomware einzusetzen.
PayloadBIN wurde erstmals 2021 entdeckt, verschlüsselt Dateien und fügt ".PAYLOADBIN" als neue Erweiterung hinzu und liefert dann eine Lösegeldforderung.
Mutmaßliche Verbindungen zum russischen Geheimdienst
Die Analyse der Ransomware-Vorfälle von Evil Corp durch das Sicherheitsberatungsunternehmen Truesec ergab, dass die Gruppe ähnliche Techniken verwendet hat, die von der russischen Regierung unterstützte Hacker verwendet haben, um den verheerenden SolarWinds-Angriff im Jahr 2020 durchzuführen.
Obwohl sehr fähig, war Evil Corp ziemlich lässig bei der Erpressung von Lösegeldzahlungen, fanden die Forscher heraus. Könnte es sein, dass die Gruppe Ransomware-Angriffe als Ablenkungstaktik einsetzt, um ihr wahres Ziel zu verbergen: Cyberspionage?
Laut Truesec deuten Beweise darauf hin, dass sich Evil Corp "in eine Söldnerspionageorganisation verwandelt hat, die vom russischen Geheimdienst kontrolliert wird, sich aber hinter der Fassade eines Cybercrime-Rings versteckt und die Grenzen zwischen Kriminalität und Spionage verwischt".
Jakubez soll enge Verbindungen zum Föderalen Sicherheitsdienst (FSB) haben – der wichtigsten Nachfolgebehörde des KGB der Sowjetunion. Berichten zufolge heiratete er im Sommer 2017 die Tochter des hochrangigen FSB-Offiziers Eduard Bendersky.
Wo wird Evil Corp als nächstes zuschlagen?
Evil Corp hat sich zu einer hoch entwickelten Gruppe entwickelt, die in der Lage ist, hochkarätige Angriffe auf große Institutionen durchzuführen. Wie dieser Artikel hervorhebt, haben seine Mitglieder bewiesen, dass sie sich an verschiedene Widrigkeiten anpassen können – was sie noch gefährlicher macht.
Obwohl niemand weiß, wo sie als nächstes zuschlagen werden, unterstreicht der Erfolg der Gruppe, wie wichtig es ist, sich online zu schützen und nicht auf verdächtige Links zu klicken.