בשנת 2019, משרד המשפטים של ארצות הברית הגיש כתב אישום נגד הלאומי הרוסי מקסים יאקובץ, והציע פרס של 5 מיליון דולר על מידע שהוביל למעצרו.
איש לא העלה מידע שיאפשר לרשויות האמריקאיות ללכוד עד כה את יאקובות החמקמקות והמסתוריות. הוא עדיין בכל מקום, כמנהיג חברת Evil Corp - אחת מקבוצות ההאקרים הידועות לשמצה והמצליחות בכל הזמנים.
פעילה מאז 2009, Evil Corp - הידועה גם בשם כנופיית דרידקס או INDRIK SPIDER - הימרה תקיפה מתמשכת גופים תאגידיים, בנקים ומוסדות פיננסיים ברחבי העולם, וגונבים מאות מיליוני דולרים תהליך.
בואו נסתכל עד כמה הקבוצה הזו מסוכנת.
האבולוציה של הרוע קורפ
שיטותיה של Evil Corp השתנו במידה ניכרת במהלך השנים, כאשר הן התפתחו בהדרגה מקבוצת האקרים כובעים שחורים אופייניים מבחינה כלכלית לתלבושת פשעי רשת מתוחכמת במיוחד.
כאשר משרד המשפטים הפליל את יאקובץ בשנת 2019, משרד האוצר האמריקאימשרד השליטה בנכסי חוץ (OFAC) הוציא סנקציות נגד חברת Evil Corp. מכיוון שהסנקציות חלות גם על כל חברה שמשלמת כופר ל- Evil Corp או מאפשרת תשלום, הקבוצה נאלצה להסתגל.
Evil Corp השתמשה בארסנל עצום של תוכנות זדוניות כדי למקד לארגונים. הסעיפים הבאים יסתכלו על אלה הידועים לשמצה ביותר.
דרידקס
ידוע גם בשם בוגאט וקרידקס, דרידקס התגלה לראשונה בשנת 2011. טרויאני בנקאי קלאסי החולק קווי דמיון רבים עם זאוס הידוע לשמצה, Dridex נועד לגנוב מידע בנקאי ובדרך כלל נפרס באמצעות דוא"ל.
באמצעות Dridex הצליחה Evil Corp לגנוב יותר מ -100 מיליון דולר ממוסדות פיננסיים ביותר מ -40 מדינות. התוכנה הזדונית מתעדכנת כל הזמן בתכונות חדשות ונשארת כאיום פעיל ברחבי העולם.
לוקי
לוקי מדביק רשתות באמצעות קבצים מצורפים זדוניים בהודעות דיוג. הקובץ המצורף, מסמך Microsoft Word, מכיל וירוסים מאקרו. כאשר הקורבן פותח את המסמך, שאינו ניתן לקריאה, מופיעה תיבת דו -שיח עם המשפט: "אפשר מאקרו אם קידוד הנתונים אינו נכון".
טכניקת הנדסה חברתית פשוטה זו בדרך כלל מרמה את הקורבן לאפשר פקודות מאקרו, השומרות ופועלות כקובץ בינארי. הקובץ הבינארי מוריד אוטומטית את טרויאן ההצפנה, שנועל קבצים במכשיר ומפנה את המשתמש לאתר הדורש תשלום כופר.
בארט
בארט נפרס בדרך כלל כתמונה באמצעות מיילים מתחזים. הוא סורק קבצים במכשיר ומחפש תוספים מסוימים (מוזיקה, סרטונים, תמונות וכו ') ונועל אותם בארכיוני ZIP המוגנים באמצעות סיסמה.
ברגע שהקורבן מנסה לפרוק את ארכיון ה- ZIP, מוצגת בפניהם פתק כופר (באנגלית, גרמנית, צרפתית, איטלקית או ספרדית, תלוי במיקום) ואמרו להגיש תשלום כופר ביטקוין.
ג'אף
כאשר נפרסה לראשונה, תוכנת הכופר Jaff עפו מתחת לרדאר מכיוון שמומחי אבטחת הסייבר וגם העיתונות התמקדו ב- WannaCry. עם זאת, זה לא אומר שזה לא מסוכן.
בדומה ללוקי, ג'ף מגיע כקובץ מצורף בדוא"ל - בדרך כלל כמסמך PDF. ברגע שהקורבן פותח את המסמך, הוא רואה מוקפץ ששואל אם הוא רוצה לפתוח את הקובץ. ברגע שהם עושים זאת, מאקרו מבצעים, פועלים כקובץ בינארי ומצפינים קבצים במכשיר.
BitPaymer
Evil Corp השתמשה לשמצה בתוכנת הכופר BitPaymer כדי למקד לבתי חולים בבריטניה בשנת 2017. BitPaymer, המפותח לצורך מיקוד לארגונים גדולים, נמסר בדרך כלל באמצעות התקפות של כוח אכזרי ודורש תשלומי כופר גבוהים.
קָשׁוּר:מהן התקפות כוח ברוט? כיצד להגן על עצמך
גרסאות חדשות יותר של BitPaymer הופצו באמצעות עדכונים מזויפים של Flash ו- Chrome. ברגע שהיא מקבלת גישה לרשת, תוכנת כופר זו נועלת קבצים באמצעות אלגוריתמי הצפנה מרובים ומשאירה פתק כופר.
WastedLocker
לאחר שאושרו על ידי משרד האוצר, Evil Corp נכנס מתחת לרדאר. אבל לא לזמן רב; הקבוצה התמזגה מחדש בשנת 2020 עם תוכנת כופר חדשה ומורכבת בשם WastedLocker.
WastedLocker מופץ בדרך כלל בעדכוני דפדפן מזויפים, המוצגים לעתים קרובות באתרים לגיטימיים - כגון אתרי חדשות.
לאחר שהקורבן מוריד את העדכון המזויף, WastedLocker עובר למכונות אחרות ברשת ומבצע הסלמת הרשאות (מקבל גישה בלתי מורשית על ידי ניצול פגיעויות אבטחה).
לאחר הביצוע, WastedLocker מצפין כמעט את כל הקבצים אליהם הוא יכול לגשת ושם אותם לכלול את שמו של הקורבן יחד עם "מבוזבז", ודורש תשלום כופר בין 500,000 $ ל -10 $ מִילִיוֹן.
שְׁאוֹל
תוכנת הכופר Hades של Evil Corp, שהתגלה לראשונה בדצמבר 2020, היא גרסה מעודכנת של WastedLocker.
לאחר קבלת אישורים לגיטימיים, הוא חודר למערכות באמצעות הגדרות רשת וירטואלית פרטית (VPN) או פרוטוקול שולחן עבודה מרוחק (RDP), בדרך כלל באמצעות התקפות של כוח אכזרי.
עם הנחיתה על מכונת קורבן, האדס משכפל את עצמו ומפעיל מחדש דרך שורת הפקודה. לאחר מכן מופעל הפעלה המאפשר לתוכנה הזדונית לסרוק את המערכת ולהצפין קבצים. לאחר מכן התוכנה הזדונית משאירה פתק כופר, המורה לקורבן להתקין את Tor ולבקר בכתובת אינטרנט.
יש לציין כי כתובות אינטרנט מותאמות לכל הדף. נראה כי להדס יש ארגונים ממוקדים באופן בלעדי עם הכנסות שנתיות העולות על מיליארד דולר.
מטען BIN
נראה כי Evil Corp מתחזה לקבוצת ההאקרים באבוק ופורס את תוכנת הכופר PayloadBIN.
קָשׁוּר: מהו באבוק לוקר? כנופיית תוכנות הכופר שכדאי לדעת עליה
לראשונה זוהה בשנת 2021, PayloadBIN מצפין קבצים ומוסיף ".PAYLOADBIN" כתוסף חדש, ולאחר מכן מספק פתק כופר.
קשרים חשודים למודיעין הרוסי
חברת ייעוץ האבטחה Truesecהניתוח של אירועי תוכנות כופר בהשתתפות Evil Corp העלה כי הקבוצה השתמשה בטכניקות דומות האקרים הנתמכים על ידי ממשלת רוסיה כדי לבצע את ההרסני ההרסני. מתקפת SolarWinds בשנת 2020.
החוקרים מצאו כי אף שהיא מסוגלת ביותר, אך Evil Corp הייתה נחמדה למדי בנוגע למיצוי תשלומי כופר. האם יכול להיות שהקבוצה מפעילה התקפות של תוכנות כופר כטקטיקת הסחת דעת כדי להסתיר את מטרתה האמיתית: ריגול סייבר?
לדברי Truesec, עדויות מצביעות על כך ש- Evil Corp "השתנתה לארגון ריגול שכיר בשליטת על ידי המודיעין הרוסי אך מסתתרים מאחורי חזית טבעת פשעי רשת ומטשטשים את הגבול בין פשע ובין בִּיוּן."
על יאקובץ יש קשרים הדוקים עם שירות הביטחון הפדרלי (FSB) - הסוכנות היורשת העיקרית של ה- KGB של ברית המועצות. על פי הדיווחים, הוא התחתן עם בתו הבכירה של קצין ה- FSB אדוארד בנדרסקי בקיץ 2017.
היכן יפגע הרוע קורפ?
Evil Corp צמחה לקבוצה מתוחכמת המסוגלת לבצע התקפות מתוקשרות על מוסדות גדולים. כפי שמאמר זה מדגיש, חבריו הוכיחו שהם יכולים להסתגל למצוקות שונות - מה שהופך אותם למסוכנים עוד יותר.
אף שאף אחד לא יודע היכן יפגעו בהמשך, הצלחת הקבוצה מדגישה את החשיבות של הגנה על עצמך באינטרנט ולא לחיצה על קישורים חשודים.
פשע ברשת הוא איום שמאתגר את כולנו. מניעה דורשת חינוך, אז הגיע הזמן ללמוד על קבוצות פשעי הרשת הגרועות ביותר.
קרא הבא
- בִּטָחוֹן
- פריצה
- אבטחה מקוונת
- בִּטָחוֹן
דמיר הוא סופר וכתב עצמאי שעבודתו מתמקדת באבטחת סייבר. מחוץ לכתיבה, הוא נהנה מקריאה, מוסיקה וקולנוע.
הירשם לניוזלטר שלנו
הצטרף לניוזלטר שלנו לקבלת טיפים, סקירות, ספרים אלקטרוניים בחינם ומבצעים בלעדיים!
לחצו כאן להרשמה