Evil Corp: Ein tiefer Einblick in eine der berüchtigtsten Hacker-Gruppen der Welt

Im Jahr 2019 erhob das US-Justizministerium Anklage gegen den russischen Staatsbürger Maksim Yakubets und bot eine Belohnung von 5 Millionen US-Dollar für Informationen an, die zu seiner Festnahme führten.

Niemand hat bisher Informationen vorgelegt, die es den US-Behörden ermöglichen würden, die schwer fassbaren und mysteriösen Yakubets zu fassen. Er ist immer noch auf freiem Fuß, als Anführer von Evil Corp – einer der berüchtigtsten und erfolgreichsten Hackergruppen aller Zeiten.

Die seit 2009 aktive Evil Corp – auch bekannt als Dridex-Gang oder INDRIK SPIDER – hat einen anhaltenden Angriff auf Unternehmen, Banken und Finanzinstitute auf der ganzen Welt und stehlen Hunderte von Millionen Dollar im Prozess.

Schauen wir uns an, wie gefährlich diese Gruppe ist.

Die Evolution von Evil Corp

Die Methoden von Evil Corp haben sich im Laufe der Jahre erheblich verändert, da sie sich allmählich von einer typischen, finanziell motivierten Black-Hat-Hacker-Gruppe zu einer außergewöhnlich raffinierten Cyberkriminalität entwickelt haben.

Als das Justizministerium Yakubets 2019 angeklagt hat, US-Finanzministerium's Office of Foreign Assets Control (OFAC) verhängte Sanktionen gegen Evil Corp. Da die Sanktionen auch für jedes Unternehmen gelten, das an Evil Corp Lösegeld zahlt oder eine Zahlung ermöglicht, musste sich der Konzern anpassen.

Evil Corp hat ein riesiges Arsenal an Malware verwendet, um Unternehmen ins Visier zu nehmen. In den folgenden Abschnitten werden die berüchtigtsten betrachtet.

Dridex

Dridex, auch bekannt als Bugat und Cridex, wurde erstmals 2011 entdeckt. Dridex ist ein klassischer Banking-Trojaner, der viele Ähnlichkeiten mit dem berüchtigten Zeus hat. Er wurde entwickelt, um Bankinformationen zu stehlen und wird normalerweise per E-Mail bereitgestellt.

Mit Dridex hat Evil Corp es geschafft, mehr als 100 Millionen US-Dollar von Finanzinstituten in über 40 Ländern zu stehlen. Die Malware wird ständig mit neuen Funktionen aktualisiert und bleibt weltweit eine aktive Bedrohung.

Locky

Locky infiziert Netzwerke über bösartige Anhänge in Phishing-E-Mails. Der Anhang, ein Microsoft Word-Dokument, enthält Makroviren. Wenn das Opfer das nicht lesbare Dokument öffnet, erscheint eine Dialogbox mit dem Satz: "Makro aktivieren, wenn die Datencodierung falsch ist".

Diese einfache Social-Engineering-Technik bringt das Opfer normalerweise dazu, die Makros zu aktivieren, die als Binärdatei gespeichert und ausgeführt werden. Die Binärdatei lädt automatisch den Verschlüsselungstrojaner herunter, der Dateien auf dem Gerät sperrt und den Benutzer auf eine Website leitet, die eine Lösegeldzahlung fordert.

Bart

Bart wird in der Regel als Foto über Phishing-E-Mails bereitgestellt. Es scannt Dateien auf einem Gerät nach bestimmten Erweiterungen (Musik, Videos, Fotos usw.) und sperrt sie in passwortgeschützten ZIP-Archiven.

Sobald das Opfer versucht, das ZIP-Archiv zu entpacken, wird ihm eine Lösegeldforderung (auf Englisch, Deutsch, Französisch, Italienisch oder Spanisch, je nach Standort) und aufgefordert, eine Lösegeldzahlung in. zu leisten Bitcoin.

Jaff

Bei der ersten Bereitstellung war die Ransomware Jaff unter dem Radar, da sich sowohl Cybersicherheitsexperten als auch die Presse auf WannaCry konzentrierten. Das bedeutet jedoch nicht, dass es nicht gefährlich ist.

Ähnlich wie Locky kommt Jaff als E-Mail-Anhang an – normalerweise als PDF-Dokument. Sobald das Opfer das Dokument öffnet, wird ein Pop-up angezeigt, in dem gefragt wird, ob es die Datei öffnen möchte. Sobald dies der Fall ist, werden Makros ausgeführt, als Binärdatei ausgeführt und verschlüsseln Dateien auf dem Gerät.

BitPaymer

Evil Corp setzte 2017 die BitPaymer-Ransomware berüchtigt ein, um Krankenhäuser in Großbritannien ins Visier zu nehmen. BitPaymer wurde für die Ausrichtung auf große Organisationen entwickelt und wird in der Regel über Brute-Force-Angriffe bereitgestellt und erfordert hohe Lösegeldzahlungen.

Verwandt:Was sind Brute-Force-Angriffe? So schützen Sie sich

Neuere Iterationen von BitPaymer sind durch gefälschte Flash- und Chrome-Updates in Umlauf gekommen. Sobald sie Zugriff auf ein Netzwerk erhält, sperrt diese Ransomware Dateien mit mehreren Verschlüsselungsalgorithmen und hinterlässt eine Lösegeldforderung.

WastedLocker

Nach der Sanktionierung durch das Finanzministerium ging Evil Corp unter das Radar. Aber nicht lange; Die Gruppe tauchte 2020 mit einer neuen, komplexen Ransomware namens WastedLocker wieder auf.

WastedLocker zirkuliert normalerweise in gefälschten Browser-Updates, die oft auf legitimen Websites angezeigt werden, wie z. B. Nachrichtenseiten.

Sobald das Opfer das gefälschte Update heruntergeladen hat, wechselt WastedLocker auf andere Computer im Netzwerk und führt eine Rechteeskalation durch (erhält unbefugten Zugriff durch Ausnutzung von Sicherheitslücken).

Nach der Ausführung verschlüsselt WastedLocker praktisch alle Dateien, auf die es zugreifen kann, und benennt sie um in den Namen des Opfers zusammen mit "verschwendet" einschließen und eine Lösegeldzahlung zwischen 500.000 und 10 US-Dollar verlangen Million.

Hades

Die Hades-Ransomware von Evil Corp, die erstmals im Dezember 2020 entdeckt wurde, scheint eine aktualisierte Version von WastedLocker zu sein.

Nach Erhalt legitimer Anmeldeinformationen infiltriert es Systeme über Virtual Private Network (VPN)- oder Remote Desktop Protocol (RDP)-Setups, normalerweise über Brute-Force-Angriffe.

Nach der Landung auf dem Computer eines Opfers repliziert sich Hades selbst und startet über die Befehlszeile neu. Anschließend wird eine ausführbare Datei gestartet, die es der Malware ermöglicht, das System zu scannen und Dateien zu verschlüsseln. Die Malware hinterlässt dann eine Lösegeldforderung, die das Opfer anweist, Tor zu installieren und eine Webadresse zu besuchen.

Insbesondere Webadressen, die Hades hinterlässt, werden für jedes Ziel angepasst. Hades scheint sich ausschließlich auf Organisationen mit einem Jahresumsatz von über 1 Milliarde US-Dollar konzentriert zu haben.

NutzlastBIN

Evil Corp scheint die Hackergruppe Babuk zu imitieren und die PayloadBIN-Ransomware einzusetzen.

VERBUNDEN: Was ist Babuk Locker? Die Ransomware-Bande, die Sie kennen sollten

PayloadBIN wurde erstmals 2021 entdeckt, verschlüsselt Dateien und fügt ".PAYLOADBIN" als neue Erweiterung hinzu und liefert dann eine Lösegeldforderung.

Mutmaßliche Verbindungen zum russischen Geheimdienst

Das Sicherheitsberatungsunternehmen Truesec's Analyse von Ransomware-Vorfällen mit Beteiligung von Evil Corp ergab, dass die Gruppe ähnliche Techniken verwendet hat, die von der russischen Regierung unterstützte Hacker verwendet haben, um die verheerenden SolarWinds-Angriff im Jahr 2020.

Obwohl sehr fähig, war Evil Corp ziemlich lässig bei der Erpressung von Lösegeldzahlungen, fanden die Forscher heraus. Könnte es sein, dass die Gruppe Ransomware-Angriffe als Ablenkungstaktik einsetzt, um ihr wahres Ziel zu verbergen: Cyberspionage?

Laut Truesec deuten Beweise darauf hin, dass sich Evil Corp "in eine von Söldnern kontrollierte Spionageorganisation verwandelt hat". vom russischen Geheimdienst, versteckt sich aber hinter der Fassade eines Cybercrime-Rings und verwischt die Grenzen zwischen Kriminalität und Spionage."

Jakubez soll enge Verbindungen zum Föderalen Sicherheitsdienst (FSB) haben – der wichtigsten Nachfolgebehörde des KGB der Sowjetunion. Berichten zufolge heiratete er im Sommer 2017 die Tochter des hochrangigen FSB-Offiziers Eduard Bendersky.

Wo wird Evil Corp als nächstes zuschlagen?

Evil Corp hat sich zu einer hoch entwickelten Gruppe entwickelt, die in der Lage ist, hochkarätige Angriffe auf große Institutionen durchzuführen. Wie dieser Artikel hervorhebt, haben seine Mitglieder bewiesen, dass sie sich an verschiedene Widrigkeiten anpassen können – was sie noch gefährlicher macht.

Obwohl niemand weiß, wo sie als nächstes zuschlagen werden, unterstreicht der Erfolg der Gruppe, wie wichtig es ist, sich online zu schützen und nicht auf verdächtige Links zu klicken.

Die 5 berüchtigtsten organisierten Cybercrime-Gangs

Cyberkriminalität ist eine Bedrohung, die uns alle herausfordert. Prävention erfordert Bildung, daher ist es an der Zeit, sich über die schlimmsten Gruppen der Cyberkriminalität zu informieren.

Weiter lesen

Über den Autor