Το συνδικάτο για το έγκλημα στον κυβερνοχώρο Evil Corp έχει δεχτεί νέες κυρώσεις από τις Ηνωμένες Πολιτείες, το Ηνωμένο Βασίλειο και την Αυστραλία. Οι ΗΠΑ κατήγγειλαν επίσης ένα από τα μέλη τους για διεξαγωγή επιθέσεων ransomware BitPaymer.
Το 2019, οι Ηνωμένες Πολιτείες επέβαλαν κυρώσεις σε δεκαεπτά άτομα και επτά οντότητες που συνδέονται με τη συμμορία Evil Corp, συμπεριλαμβανομένου του αρχηγού της ομάδας, Maksim Yakubets.
Σήμερα, το Γραφείο Ελέγχου Ξένων Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) επέβαλε κυρώσεις σε επιπλέον επτά άτομα και δύο οντότητες που σχετίζονται με την επιχείρηση εγκλήματος στον κυβερνοχώρο.
Σε μια τριμερή δράση συμμετέχουν επίσης το Ηνωμένο Βασίλειο και η Αυστραλία επιβολή κυρώσεων σε ορισμένους από τους υπόπτους του Evil Corp ορίστηκε από την OFAC σήμερα ή στις κυρώσεις του 2019.
Τα άτομα που επιβλήθηκαν κυρώσεις είναι ο Eduard Benderskiy (ο πεθερός του Maksim), ο Viktor Grigoryevich Yakubets (ο πατέρας του Maksim), ο Aleksandr Viktorovich Ryzhenkov, ο Sergey Viktorovich Ryzhenkov, ο Aleksey Yevgenevich Shchetinin, ο Beyat Enverovich Ramazanov.
Οι δύο οντότητες που έχουν επιβληθεί κυρώσεις είναι η Vympel-Assistance LLC και η Solar-Invest LLC, οι οποίες ανήκουν στον Benderskiy, τον φερόμενο πεθερό του αρχηγού της Evil Corp, Maksim Yakubets.
“Eduard Benderskiy (Benderskiy), πρώην αξιωματικός Spetnaz της Ρωσικής Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB), η οποία έχει οριστεί από πολλές αρχές κυρώσεων της OFAC, σημερινός Ρώσος επιχειρηματίας και ο πεθερός του αρχηγού της Evil Corp Maksim Viktorovich Yakubets (Maksim ), υπήρξε βασικός παράγοντας της σχέσης της Evil Corp με το ρωσικό κράτος», ισχυρίζεται η Ανακοίνωση του Υπουργείου Οικονομικών των ΗΠΑ.
«Ο Benderskiy ήταν βασικός παράγοντας της σχέσης τους με τις ρωσικές υπηρεσίες πληροφοριών που, πριν από το 2019, ανέθεσαν στην Evil Corp να διεξάγει επιθέσεις στον κυβερνοχώρο και επιχειρήσεις κατασκοπείας εναντίον συμμάχων του ΝΑΤΟ», ισχυρίζεται. κοινή ανακοίνωση της ΕΑΑ.
Ως μέρος αυτών των κυρώσεων, τα περιουσιακά στοιχεία του ατόμου έχουν δεσμευτεί και οι επιχειρήσεις στις ΗΠΑ, το Ηνωμένο Βασίλειο και την Αυστραλία δεν μπορούν πλέον να συναλλάσσονται μαζί τους.
Αυτό σημαίνει επίσης ότι οι οργανισμοί που υφίστανται επιθέσεις ransomware από την Evil Corp δεν θα μπορούν πλέον να πραγματοποιούν πληρωμές λύτρων χωρίς έγκριση από την OFAC ή κινδυνεύουν να αντιμετωπίσουν παραβιάσεις των κυρώσεων.
Μέλος του Evil Corp ταυτοποιήθηκε και κατηγορήθηκε
Οι Ηνωμένες Πολιτείες επίσης αποσφράγισε σήμερα κατηγορητήριο εναντίον του ύποπτου μέλους του Evil Corp, Aleksandr Ryzhenkov για τη διεξαγωγή επιθέσεων ransomware σε πολλά θύματα στις ΗΠΑ.
Ο Ryzhenkov κατηγορείται για τη χρήση του ransomware BitPaymer σε πολλαπλές επιθέσεις κατά εταιρειών στις Ηνωμένες Πολιτείες. Το BitPaymer είναι ο πρώτος κρυπτογραφητής ransomware που δημιουργήθηκε από την Evil Corp, τον οποίο άρχισαν να χρησιμοποιούν σε επιθέσεις το 2017.
«Σύμφωνα με το κατηγορητήριο, ξεκινώντας τουλάχιστον τον Ιούνιο του 2017, ο Ριζένκοφ φέρεται να απέκτησε μη εξουσιοδοτημένη πρόσβαση στις πληροφορίες που ήταν αποθηκευμένες στα δίκτυα υπολογιστών των θυμάτων», αναφέρει η Ανακοίνωση του DOJ.
“Ο Ryzhenkov και οι συνωμότες του φέρεται να ανέπτυξαν το στέλεχος του ransomware γνωστό ως BitPaymer και το χρησιμοποίησαν για να κρυπτογραφήσουν τα αρχεία των εταιρειών των θυμάτων, καθιστώντας τα απρόσιτα. Ένα ηλεκτρονικό σημείωμα που αφέθηκε στα συστήματα των θυμάτων περιείχε αίτημα λύτρων και οδηγίες για τον τρόπο επικοινωνίας οι επιτιθέμενοι να ξεκινήσουν διαπραγματεύσεις για τα λύτρα.
«Ο Ριζένκοφ και οι συνωμότες του φέρεται να ζήτησαν από τα θύματα να πληρώσουν λύτρα για να αποκτήσουν ένα κλειδί αποκρυπτογράφησης και να αποτρέψουν τη δημοσιοποίηση των ευαίσθητων πληροφοριών τους στο διαδίκτυο».
Στο πλαίσιο της Επιχείρησης Cronos, η NCA προσδιόρισε επίσης τον Ryzhenkov ως θυγατρικό της LockBit, στο πλαίσιο της οποίας επιτέθηκε σε πολυάριθμους οργανισμούς.
“Έχει επίσης αναγνωριστεί ως θυγατρική εταιρεία της LockBit ως μέρος της Επιχείρησης Cronos – της συνεχιζόμενης διεθνούς διαταραχής του ομίλου υπό την ηγεσία της NCA”, αναφέρει το Ανακοίνωση NCA.
«Οι ερευνητές που αναλύουν δεδομένα που ελήφθησαν από τα συστήματα της ίδιας της ομάδας διαπίστωσαν ότι είχε εμπλακεί σε επιθέσεις ransomware LockBit εναντίον πολλών οργανισμών».
Ο Ryzhenkov είναι μέρος εκείνων που έχουν επιβληθεί σήμερα από την OFAC, το Ηνωμένο Βασίλειο και την Αυστραλία και πιστεύεται ότι ζει στη Ρωσία.
Who is Evil Corp
Το Evil Corp είναι ένα συνδικάτο για το έγκλημα στον κυβερνοχώρο γνωστό για τη δημιουργία και τη διανομή του τραπεζικού Trojan Dridex και διαφόρων οικογενειών ransomware που χρησιμοποιούνται σε επιθέσεις παγκοσμίως.
Όταν ξεκίνησε για πρώτη φορά, η συμμορία του εγκλήματος στον κυβερνοχώρο χρησιμοποίησε το trojan Dridex για να πραγματοποιήσει χρηματοοικονομική απάτη κλέβοντας διαπιστευτήρια ηλεκτρονικής τραπεζικής και στη συνέχεια χρησιμοποιώντας τα για να μεταφέρει χρήματα σε τραπεζικούς λογαριασμούς υπό τον έλεγχό τους.
Το 2017, καθώς άρχισαν να εμφανίζονται οι επιθέσεις ransomware με στόχευση επιχειρήσεων, η συμμορία δημιούργησε το BitPaymer ransomware για να το χρησιμοποιήσει σε επιθέσεις εναντίον εταιρειών σε όλο τον κόσμο.
Το 2019, η Evil Corp χωρίστηκε, με ορισμένα μέλη να δημιουργούν μια νέα λειτουργία ransomware γνωστή ως DoppelPaymer, η οποία μοιράζεται μεγάλο μέρος του ίδιου κώδικα με το BitPaymer. Το DoppelPaymer συνέχισε να επιτίθεται σε οργανισμούς μέχρι το 2022, επαναπροσδιορίζοντας δύο φορές το όνομα Grief (γνωστό και ως Pay ή Grief) και Entropy ransomware.
Αφού οι ΗΠΑ κατηγόρησαν μέλη του Evil Corp για κλοπή άνω των 100 εκατομμυρίων δολαρίων, πρόσθεσε τον αρχηγό της συμμορίας, Maksim Yakubets, και άλλα μέλη της συμμορίας του εγκλήματος στον κυβερνοχώρο στη λίστα κυρώσεων του Office of Foreign Assets Control (OFAC).
Λόγω αυτών των κυρώσεων, πολλές εταιρείες διαπραγμάτευσης ransomware αρνήθηκαν να πραγματοποιήσουν πληρωμές με τις λειτουργίες της Evil Corp λόγω των κινδύνων παραβίασης των κυρώσεων.
Η Evil Corp ανέπτυξε νέες παραλλαγές ransomware με διαφορετικά ονόματα για να αποφύγει τις κυρώσεις των ΗΠΑ, όπως WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin και Macaw.
Ωστόσο, καθώς όλοι αυτοί οι κρυπτογραφητές μοιράζονταν μια κοινή βάση κωδικών, αναγνωρίστηκαν εύκολα ότι ανήκαν στην Evil Corp. Αυτό οδήγησε ορισμένες από τις θυγατρικές της συμμορίας να χρησιμοποιήσουν το LockBit ransomware σε επιθέσεις για να αποφύγουν περαιτέρω τις κυρώσεις.
VIA: bleepingcomputer.com
