Evil Corp: une plongée en profondeur dans l'un des groupes de hackers les plus notoires au monde

En 2019, le ministère américain de la Justice a porté plainte contre le ressortissant russe Maksim Yakubets, offrant une récompense de 5 millions de dollars pour les informations ayant conduit à son arrestation.

Personne n'a fourni d'informations qui permettraient aux autorités américaines de capturer les Yakubets insaisissables et mystérieux jusqu'à présent. Il est toujours en fuite, en tant que leader d'Evil Corp, l'un des groupes de hackers les plus connus et les plus réussis de tous les temps.

Actif depuis 2009, Evil Corp - également connu sous le nom de gang Dridex ou INDRIK SPIDER - a parié un assaut soutenu sur des sociétés, des banques et des institutions financières du monde entier, volant des centaines de millions de dollars dans le traiter.

Voyons à quel point ce groupe est dangereux.

L'évolution de la société maléfique

Les méthodes d'Evil Corp ont considérablement changé au fil des ans, au fur et à mesure qu'elle est passée d'un groupe de pirates informatiques typiques et motivés financièrement à un groupe de cybercriminalité exceptionnellement sophistiqué.

Lorsque le ministère de la Justice a inculpé les Yakubets en 2019, le Département du Trésor américainL'Office of Foreign Assets Control (OFAC) a émis des sanctions contre Evil Corp. Puisque les sanctions s'appliquent également à toute entreprise qui verse une rançon à Evil Corp ou facilite un paiement, le groupe a dû s'adapter.

Evil Corp a utilisé un vaste arsenal de logiciels malveillants pour cibler les organisations. Les sections suivantes examineront les plus notoires.

Dridex

Également connu sous le nom de Bugat et Cridex, Dridex a été découvert pour la première fois en 2011. Cheval de Troie bancaire classique qui partage de nombreuses similitudes avec le tristement célèbre Zeus, Dridex est conçu pour voler des informations bancaires et est généralement déployé par courrier électronique.

En utilisant Dridex, Evil Corp a réussi à voler plus de 100 millions de dollars à des institutions financières dans plus de 40 pays. Le malware est constamment mis à jour avec de nouvelles fonctionnalités et reste une menace active à l'échelle mondiale.

Verrouillage

Locky infecte les réseaux via des pièces jointes malveillantes dans les e-mails de phishing. La pièce jointe, un document Microsoft Word, contient des macrovirus. Lorsque la victime ouvre le document, qui n'est pas lisible, une boîte de dialogue avec la phrase: "Activer la macro si l'encodage des données est incorrect" apparaît.

Cette simple technique d'ingénierie sociale incite généralement la victime à activer les macros, qui sont enregistrées et exécutées sous forme de fichier binaire. Le fichier binaire télécharge automatiquement le cheval de Troie de cryptage, qui verrouille les fichiers sur l'appareil et dirige l'utilisateur vers un site Web exigeant le paiement d'une rançon.

Barth

Bart est généralement déployé sous forme de photo via des e-mails de phishing. Il scanne les fichiers sur un appareil à la recherche de certaines extensions (musique, vidéos, photos, etc.) et les verrouille dans des archives ZIP protégées par mot de passe.

Une fois que la victime essaie de décompresser l'archive ZIP, une demande de rançon lui est présentée (en anglais, allemand, français, italien ou espagnol, selon l'endroit) et on lui a dit de soumettre un paiement de rançon en Bitcoin.

Jaff

Lors de son premier déploiement, le ransomware Jaff est passé inaperçu parce que les experts en cybersécurité et la presse se sont concentrés sur WannaCry. Cependant, cela ne veut pas dire que ce n'est pas dangereux.

Tout comme Locky, Jaff arrive sous forme de pièce jointe à un e-mail, généralement sous forme de document PDF. Une fois que la victime ouvre le document, une fenêtre contextuelle lui demande si elle souhaite ouvrir le fichier. Une fois qu'elles le font, les macros s'exécutent, s'exécutent en tant que fichier binaire et cryptent les fichiers sur l'appareil.

BitPaymer

Evil Corp a tristement utilisé le ransomware BitPaymer pour cibler les hôpitaux du Royaume-Uni en 2017. Développé pour cibler les grandes organisations, BitPaymer est généralement livré via des attaques par force brute et exige des paiements de rançon élevés.

En rapport:Que sont les attaques par force brute? Comment se protéger

Des itérations plus récentes de BitPaymer ont circulé via de fausses mises à jour Flash et Chrome. Une fois qu'il a accès à un réseau, ce ransomware verrouille les fichiers à l'aide de plusieurs algorithmes de cryptage et laisse une note de rançon.

WastedLocker

Après avoir été sanctionné par le département du Trésor, Evil Corp est passé sous le radar. Mais pas pour longtemps; le groupe a réapparu en 2020 avec un nouveau ransomware complexe appelé WastedLocker.

WastedLocker circule généralement dans de fausses mises à jour de navigateur, souvent affichées sur des sites Web légitimes, tels que des sites d'actualités.

Une fois que la victime a téléchargé la fausse mise à jour, WastedLocker se déplace vers d'autres machines sur le réseau et effectue une élévation des privilèges (obtient un accès non autorisé en exploitant les failles de sécurité).

Après exécution, WastedLocker crypte pratiquement tous les fichiers auxquels il peut accéder et les renomme en inclure le nom de la victime ainsi que « gaspillé » et exige le paiement d'une rançon entre 500 000 $ et 10 $ million.

Enfers

Découvert pour la première fois en décembre 2020, le ransomware Hades d'Evil Corp semble être une version mise à jour de WastedLocker.

Après avoir obtenu des informations d'identification légitimes, il infiltre les systèmes via des configurations de réseau privé virtuel (VPN) ou de protocole de bureau à distance (RDP), généralement via des attaques par force brute.

En atterrissant sur la machine d'une victime, Hadès se réplique et se relance via la ligne de commande. Un exécutable se lance alors, permettant au malware d'analyser le système et de crypter les fichiers. Le malware laisse alors une demande de rançon, invitant la victime à installer Tor et à visiter une adresse Web.

Notamment, les adresses Web laissées par Hadès sont personnalisées pour chaque cible. Hades semble avoir ciblé exclusivement les organisations dont les revenus annuels dépassent 1 milliard de dollars.

Charge utileBIN

Evil Corp semble se faire passer pour le groupe de hackers Babuk et déployer le ransomware PayloadBIN.

EN RELATION: Qu'est-ce que le casier Babuk? Le gang de ransomware que vous devriez connaître

Repéré pour la première fois en 2021, PayloadBIN crypte les fichiers et ajoute ".PAYLOADBIN" en tant que nouvelle extension, puis délivre une demande de rançon.

Liens présumés avec les services secrets russes

La société de conseil en sécurité VraisecL'analyse d'incidents de ransomware impliquant Evil Corp a révélé que le groupe a utilisé des techniques similaires que les pirates informatiques soutenus par le gouvernement russe ont utilisé pour mener à bien les attaques dévastatrices Attaque de SolarWinds en 2020.

Bien qu'extrêmement capable, Evil Corp a été plutôt nonchalante quant à l'extraction des paiements de rançon, ont découvert les chercheurs. Se pourrait-il que le groupe déploie des attaques de ransomware comme tactique de distraction pour dissimuler son véritable objectif: le cyberespionnage?

Selon Truesec, des preuves suggèrent qu'Evil Corp s'est "transformée en une organisation d'espionnage mercenaire contrôlée par les services secrets russes mais se cachant derrière la façade d'un réseau de cybercriminalité, brouillant les frontières entre le crime et espionnage."

Les Yakubets auraient des liens étroits avec le Service fédéral de sécurité (FSB) – la principale agence qui succède au KGB de l'Union soviétique. Il aurait épousé la fille d'un officier de haut rang du FSB, Eduard Bendersky, à l'été 2017.

Où Evil Corp frappera-t-il ensuite?

Evil Corp est devenu un groupe sophistiqué capable de mener des attaques de grande envergure contre de grandes institutions. Comme le souligne cet article, ses membres ont prouvé qu'ils peuvent s'adapter à différentes adversités, ce qui les rend encore plus dangereuses.

Bien que personne ne sache où ils frapperont ensuite, le succès du groupe souligne l'importance de se protéger en ligne et de ne pas cliquer sur des liens suspects.

Les 5 gangs de cybercriminalité organisés les plus notoires

La cybercriminalité est une menace qui nous interpelle tous. La prévention nécessite une éducation, il est donc temps de se renseigner sur les pires groupes de cybercriminalité.

Lire la suite

A propos de l'auteur