Evil Corp

Evil Corp существует как минимум с 2007 года. Первоначально группировка выступала в роли партнёров для других хакерских групп. Затем они создали собственный банковский троян троян Dridex. Он устанавливался через заражённый файл Word. Так Evil Corp заражала десятки тысяч компьютеров по всему миру. Dridex постоянно эволюционировал, превращаясь в сложный инструмент. Через него со временем Evil Corp стала устанавливать на компьютеры жертв собственную программу-вымогатель BitPaymer^[3].

После попадания Evil Corp в американские санкционные списки в декабре 2019 с группировкой из-за опасения вторичных санкций перестали работать компании-переговорщики, которые обычно договариваются об уплате выкупа и расшифровке данных. В июне 2020 года группировка вынужденно переключилась на использование зловреда WastedLocker, в 2021 году появился шифровальщик Hades (букв. — «Аид») (это был 64-битный улучшенный вариант WastedLocker). После Evil Corp выдавала себя за группировку PayloadBin (бывший Babuk) и использовала вымогатели Macaw и Phoenix^[4]. Также предполагали, что они могут стоять за вымогателем DoppelPaymer, сменившем имя на Grief^[5]. Летом 2022 года исследователи из Mandiant связали с Evil Corp кластер UNC2165, который использует сторонний шифровальщик LockBit^[3].

24 июля 2020 американский производитель устройств и сервисов для навигации Garmin подвергся атаке вируса-вымогателя WastedLocker. В результате на несколько дней была остановлена работе сервисов и приложений компании. По сообщениям инсайдеров, компании пришлось заплатить вымогателям из Evil Corp 10 млн долларов^[6]. В октябре 2021 группировка использовала шифровальщик Macaw Locker для атак Sinclair Broadcast Group и Olympus и затем требовала с компаний десятки миллионов долларов^[7].

В феврале 2022 года американская аналитическая компания Chainalysis заявила, что только за 2021 году хакеры из России заработали на вымогательстве свыше $400 млн или около 74 % всего «рынка». Крупнейшей по доходам группировкой является Evil Corp, на них приходится 9,9 % всех известных доходов от программ-вымогателей в мире^[2].

13 ноября 2019 года Министерство юстиции США подало документы в Федеральный окружной суд Восточного округа Пенсильвании, обвинив Evil Corp в лице Максима Якубца и Игоря Турашева в ряде киберпреступлений^[8].

14 ноября 2019 года окружной суд штата Небраска обвинил Якубца, что он скрывался под никнеймом aqua и связан с распространением трояна ZeuS^[9].

5 декабря Управление по контролю за иностранными активами Минфина США включило Якубца, известных членов Evil Corp и 24 юридических лица, связанных с обналичкой их преступных средств, в санкционный SDN-список^[10][11].

Государственный департамент США назначил вознаграждение за помощь в поимке Якубца самую большую награду в истории преследования киберпреступников — 5 млн долларов.

После появления информации о включении Evil Corp в санкционные списки члены группировки стали затирать информацию в социальных сетях.

Минфин США считает, что ФСБ использует членов Evil Corp для шпионажа. Так, по данным ведомства, одним из заданий Якубца было получение доступа к неназванным «конфиденциальным документам». Министерство иностранных дел России эти обвинения назвало пропагандистской атакой.

1 октября 2024 года британские власти ввели санкции в отношении 16 членов Evil Corp^[12].