Evil Corp: una inmersión profunda en uno de los grupos de hackers más notorios del mundo
En 2019, el Departamento de Justicia de Estados Unidos presentó cargos contra el ciudadano ruso Maksim Yakubets, ofreciendo una recompensa de $ 5 millones por información que conduzca a su arresto.
Nadie ha presentado información que permita a las autoridades estadounidenses capturar a los escurridizos y misteriosos Yakubets hasta ahora. Todavía está en libertad, como líder de Evil Corp, uno de los grupos de hackers más famosos y exitosos de todos los tiempos.
Activa desde 2009, Evil Corp, también conocida como la banda Dridex o INDRIK SPIDER, ha apostado por un asalto sostenido a entidades corporativas, bancos e instituciones financieras de todo el mundo, robando cientos de millones de dólares en el proceso.
Echemos un vistazo a lo peligroso que es este grupo.
La evolución de Evil Corp
Los métodos de Evil Corp han cambiado considerablemente a lo largo de los años, ya que gradualmente evolucionó de un grupo típico de hackers de sombrero negro con motivaciones financieras a un equipo de ciberdelincuencia excepcionalmente sofisticado.
Cuando el Departamento de Justicia acusó a Yakubets en 2019, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU . Emitió sanciones contra Evil Corp. Dado que las sanciones también se aplican a cualquier empresa que pague un rescate a Evil Corp o facilite un pago, el el grupo ha tenido que adaptarse.
Evil Corp ha utilizado un vasto arsenal de malware para atacar organizaciones. Las siguientes secciones analizarán las más notorias.
Dridex
Dridex, también conocido como Bugat y Cridex, se descubrió por primera vez en 2011. Dridex, un troyano bancario clásico que comparte muchas similitudes con el infame Zeus, está diseñado para robar información bancaria y generalmente se implementa a través del correo electrónico.
Usando Dridex, Evil Corp ha logrado robar más de $ 100 millones de instituciones financieras en más de 40 países. El malware se actualiza constantemente con nuevas funciones y sigue siendo una amenaza activa a nivel mundial.
Locky
Locky infecta las redes a través de archivos adjuntos maliciosos en correos electrónicos de phishing. El archivo adjunto, un documento de Microsoft Word, contiene virus de macro . Cuando la víctima abre el documento, que no es legible, aparece un cuadro de diálogo con la frase: "Habilitar macro si la codificación de datos es incorrecta".
Esta sencilla técnica de ingeniería social suele engañar a la víctima para que habilite las macros, que se guardan y se ejecutan como un archivo binario. El archivo binario descarga automáticamente el troyano de cifrado, que bloquea los archivos en el dispositivo y dirige al usuario a un sitio web que exige el pago de un rescate.
Bart
Bart generalmente se implementa como una foto a través de correos electrónicos de phishing. Escanea archivos en un dispositivo en busca de ciertas extensiones (música, videos, fotos, etc.) y los bloquea en archivos ZIP protegidos con contraseña.
Una vez que la víctima intenta descomprimir el archivo ZIP, se le presenta una nota de rescate (en inglés, alemán, francés, italiano o español, según la ubicación) y se le pide que envíe un pago de rescate en Bitcoin.
Jaff
Cuando se implementó por primera vez, el ransomware Jaff pasó desapercibido porque tanto los expertos en ciberseguridad como la prensa se centraron en WannaCry. Sin embargo, eso no significa que no sea peligroso.
Al igual que Locky, Jaff llega como un archivo adjunto de correo electrónico, generalmente como un documento PDF. Una vez que la víctima abre el documento, ve una ventana emergente que le pregunta si quiere abrir el archivo. Una vez que lo hacen, las macros se ejecutan, se ejecutan como un archivo binario y cifran los archivos en el dispositivo.
BitPaymer
Evil Corp usó infamemente el ransomware BitPaymer para atacar hospitales en el Reino Unido en 2017. Desarrollado para dirigirse a las principales organizaciones, BitPaymer generalmente se entrega a través de ataques de fuerza bruta y exige altos pagos de rescate.
Las iteraciones más recientes de BitPaymer han circulado a través de actualizaciones falsas de Flash y Chrome. Una vez que obtiene acceso a una red, este ransomware bloquea archivos utilizando múltiples algoritmos de cifrado y deja una nota de rescate.
WastedLocker
Después de ser sancionado por el Departamento del Tesoro, Evil Corp pasó desapercibido. Pero no por mucho; el grupo resurgió en 2020 con un nuevo y complejo ransomware llamado WastedLocker.
WastedLocker generalmente circula en actualizaciones de navegador falsas, que a menudo se muestran en sitios web legítimos, como sitios de noticias.
Una vez que la víctima descarga la actualización falsa, WastedLocker se traslada a otras máquinas de la red y realiza una escalada de privilegios (obtiene acceso no autorizado mediante la explotación de vulnerabilidades de seguridad).
Después de la ejecución, WastedLocker cifra prácticamente todos los archivos a los que puede acceder y les cambia el nombre para incluir el nombre de la víctima junto con "desperdiciado", y exige un pago de rescate de entre 500.000 y 10 millones de dólares.
infierno
Descubierto por primera vez en diciembre de 2020, el ransomware Hades de Evil Corp parece ser una versión actualizada de WastedLocker.
Después de obtener credenciales legítimas, se infiltra en los sistemas a través de configuraciones de Red Privada Virtual (VPN) o Protocolo de Escritorio Remoto (RDP), generalmente a través de ataques de fuerza bruta.
Al aterrizar en la máquina de una víctima, Hades se replica y se relanza a través de la línea de comando. Luego se inicia un ejecutable, lo que permite que el malware escanee el sistema y cifre los archivos. Luego, el malware deja una nota de rescate, indicando a la víctima que instale Tor y visite una dirección web.
En particular, las direcciones web que deja Hades están personalizadas para cada objetivo. Hades parece haberse dirigido exclusivamente a organizaciones con ingresos anuales superiores a los mil millones de dólares.
PayloadBIN
Evil Corp parece estar haciéndose pasar por el grupo de piratas informáticos Babuk y desplegando el ransomware PayloadBIN.
Detectado por primera vez en 2021, PayloadBIN encripta archivos y agrega ".PAYLOADBIN" como una nueva extensión, y luego entrega una nota de rescate.
Presuntos vínculos con la inteligencia rusa
El análisis de la consultora de seguridad Truesec de los incidentes de ransomware que involucran a Evil Corp reveló que el grupo ha utilizado técnicas similares que los hackers respaldados por el gobierno ruso utilizaron para llevar a cabo el devastador ataque SolarWinds en 2020.
Aunque es extremadamente capaz, Evil Corp ha sido bastante indiferente a la hora de obtener pagos de rescate, encontraron los investigadores. ¿Podría ser que el grupo implemente ataques de ransomware como táctica de distracción para ocultar su verdadero objetivo: el ciberespionaje?
Según Truesec, la evidencia sugiere que Evil Corp se ha "transformado en una organización de espionaje mercenario controlada por la inteligencia rusa pero escondida detrás de la fachada de una red de ciberdelincuencia, difuminando las líneas entre el crimen y el espionaje".
Se dice que Yakubets tiene estrechos vínculos con el Servicio Federal de Seguridad (FSB), la principal agencia sucesora de la KGB de la Unión Soviética. Según los informes, se casó con la hija del oficial de alto rango del FSB Eduard Bendersky en el verano de 2017.
¿Dónde atacará Evil Corp después?
Evil Corp se ha convertido en un grupo sofisticado capaz de llevar a cabo ataques de alto perfil contra las principales instituciones. Como se destaca en este artículo, sus miembros han demostrado que pueden adaptarse a diferentes adversidades, lo que las hace aún más peligrosas.
Aunque nadie sabe dónde atacarán a continuación, el éxito del grupo destaca la importancia de protegerse en línea y no hacer clic en enlaces sospechosos.