Evil Corp: um mergulho profundo em um dos grupos de hackers mais notórios do mundo
Em 2019, o Departamento de Justiça dos Estados Unidos apresentou acusações contra o russo Maksim Yakubets, oferecendo uma recompensa de US $ 5 milhões por informações que levassem à sua prisão.
Ninguém apresentou informações que permitiriam às autoridades americanas capturar os elusivos e misteriosos Yakubets até agora. Ele ainda está foragido, como o líder da Evil Corp – um dos grupos de hackers mais notórios e bem-sucedidos de todos os tempos.
Em atividade desde 2009, a Evil Corp – também conhecida como gangue Dridex ou INDRIK SPIDER – apostou um ataque sustentado a entidades corporativas, bancos e instituições financeiras em todo o mundo, roubando centenas de milhões de dólares no processo.
Vamos dar uma olhada em como esse grupo é perigoso.
A Evolução da Evil Corp
Os métodos da Evil Corp mudaram consideravelmente ao longo dos anos, à medida que evoluiu gradualmente de um grupo de hackers de chapéu preto típico com motivação financeira para um grupo de crime cibernético excepcionalmente sofisticado.
Quando o Departamento de Justiça indiciou Yakubets em 2019, o Escritório de Controle de Ativos Estrangeiros (OFAC) do Departamento do Tesouro dos EUA emitiu sanções contra a Evil Corp. Uma vez que as sanções também se aplicam a qualquer empresa que pague um resgate à Evil Corp ou facilite um pagamento, a grupo teve que se adaptar.
A Evil Corp usou um vasto arsenal de malware para visar organizações. As seções a seguir examinarão as mais notórias.
Dridex
Também conhecido como Bugat e Cridex, o Dridex foi descoberto pela primeira vez em 2011. Um trojan bancário clássico que compartilha muitas semelhanças com o infame Zeus, o Dridex foi projetado para roubar informações bancárias e normalmente é implantado por e-mail.
Usando Dridex, a Evil Corp conseguiu roubar mais de US $ 100 milhões de instituições financeiras em mais de 40 países. O malware é constantemente atualizado com novos recursos e permanece uma ameaça ativa em todo o mundo.
Locky
O Locky infecta redes por meio de anexos maliciosos em e-mails de phishing. O anexo, um documento do Microsoft Word, contém vírus de macro . Quando a vítima abre o documento, que não é legível, uma caixa de diálogo com a frase: "Habilitar macro se a codificação de dados estiver incorreta" aparece.
Essa técnica simples de engenharia social geralmente engana a vítima para habilitar as macros, que são salvas e executadas como um arquivo binário. O arquivo binário baixa automaticamente o Trojan criptografado, que bloqueia arquivos no dispositivo e direciona o usuário a um site que exige o pagamento de um resgate.
Bart
Bart geralmente é implantado como uma foto por meio de e-mails de phishing. Ele verifica os arquivos em um dispositivo à procura de certas extensões (música, vídeos, fotos, etc.) e os bloqueia em arquivos ZIP protegidos por senha.
Assim que a vítima tenta descompactar o arquivo ZIP, ela recebe uma nota de resgate (em inglês, alemão, francês, italiano ou espanhol, dependendo da localização) e é instruída a enviar um pagamento de resgate em Bitcoin.
Jaff
Quando implantado pela primeira vez, o ransomware Jaff passou despercebido porque os especialistas em segurança cibernética e a imprensa se concentraram no WannaCry. No entanto, isso não significa que não seja perigoso.
Muito parecido com Locky, Jaff chega como um anexo de e-mail – geralmente como um documento PDF. Assim que a vítima abre o documento, ela vê um pop-up perguntando se deseja abrir o arquivo. Assim que o fazem, as macros são executadas, executadas como um arquivo binário e criptografam arquivos no dispositivo.
BitPaymer
A Evil Corp usou de forma infame o ransomware BitPaymer para ter como alvo hospitais no Reino Unido em 2017. Desenvolvido para atingir grandes organizações, o BitPaymer normalmente é entregue por meio de ataques de força bruta e exige altos pagamentos de resgate.
As iterações mais recentes do BitPaymer circularam por meio de atualizações falsas do Flash e do Chrome. Depois de obter acesso a uma rede, esse ransomware bloqueia arquivos usando vários algoritmos de criptografia e deixa uma nota de resgate.
WastedLocker
Depois de ser sancionada pelo Departamento do Tesouro, a Evil Corp ficou fora do radar. Mas não por muito; o grupo ressurgiu em 2020 com um novo ransomware complexo chamado WastedLocker.
O WastedLocker geralmente circula em atualizações de navegador falsas, geralmente exibidas em sites legítimos, como sites de notícias.
Depois que a vítima baixa a atualização falsa, o WastedLocker se move para outras máquinas na rede e executa o escalonamento de privilégios (obtém acesso não autorizado explorando vulnerabilidades de segurança).
Após a execução, o WastedLocker criptografa praticamente todos os arquivos que pode acessar e os renomeia para incluir o nome da vítima junto com "desperdiçado" e exige um pagamento de resgate entre $ 500.000 e $ 10 milhões.
Hades
Descoberto pela primeira vez em dezembro de 2020, o ransomware Hades da Evil Corp parece ser uma versão atualizada do WastedLocker.
Depois de obter credenciais legítimas, ele se infiltra em sistemas por meio de configurações de Rede Privada Virtual (VPN) ou Protocolo de Área de Trabalho Remota (RDP), geralmente por meio de ataques de força bruta.
Ao pousar na máquina da vítima, Hades se replica e relança através da linha de comando. Em seguida, um executável é iniciado, permitindo que o malware faça a varredura do sistema e criptografe os arquivos. O malware então deixa uma nota de resgate, direcionando a vítima a instalar o Tor e visitar um endereço da web.
Notavelmente, os endereços da web que Hades deixa são personalizados para cada destino. Hades parece ter visado exclusivamente organizações com receitas anuais superiores a US $ 1 bilhão.
PayloadBIN
A Evil Corp parece estar se passando pelo grupo de hackers Babuk e implantando o ransomware PayloadBIN.
Identificado pela primeira vez em 2021, PayloadBIN criptografa arquivos e adiciona ".PAYLOADBIN" como uma nova extensão e, em seguida, entrega uma nota de resgate.
Ligações suspeitas com a inteligência russa
A análise da empresa de consultoria de segurança Truesec de incidentes de ransomware envolvendo a Evil Corp revelou que o grupo usou técnicas semelhantes que hackers apoiados pelo governo russo usaram para realizar o devastador ataque SolarWinds em 2020.
Embora extremamente capaz, a Evil Corp tem se mostrado bastante indiferente quanto à extração de pagamentos de resgate, descobriram os pesquisadores. Será que o grupo implanta ataques de ransomware como uma tática de distração para esconder seu verdadeiro objetivo: a espionagem cibernética?
De acordo com a Truesec, as evidências sugerem que a Evil Corp "se transformou em uma organização de espionagem mercenária controlada pela Inteligência Russa, mas se escondendo atrás da fachada de um círculo de crimes cibernéticos, confundindo os limites entre crime e espionagem".
Diz-se que Yakubets tem laços estreitos com o Serviço de Segurança Federal (FSB) – a principal agência sucessora da KGB da União Soviética. Ele teria se casado com a filha do oficial de alta patente do FSB Eduard Bendersky no verão de 2017.
Onde o Evil Corp vai atacar a seguir?
Evil Corp cresceu e se tornou um grupo sofisticado capaz de realizar ataques de alto nível contra grandes instituições. Como este artigo destaca, seus membros provaram que podem se adaptar a diferentes adversidades – tornando-as ainda mais perigosas.
Embora ninguém saiba onde eles atacarão em seguida, o sucesso do grupo destaca a importância de se proteger online e não clicar em links suspeitos.
