АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
2219276 статей на русском языкеО РУВИКИ

Evil Corp

Evil Corp — российская хакерская группировка. Британское национальное агентство по борьбе с преступностью (NCA) считает группировку «самой вредоносной в мире»[1]. За информацию, которая приведёт к аресту главаря группировки Максима Якубца США готовы заплатить пять миллионов долларов. По данным исследователей из Chainalysis, Evil Corp в 2021 году получила около 10 % всех доходов от программ-вымогателей, что делало группировку крупнейшей в мире на этом «рынке»[2].

Общие сведения
Evil Corp
Тип организации хакерство, постоянная серьёзная угроза
Руководители
Максим Якубец
Основание
Дата основания 2007

Атаки

Evil Corp существует как минимум с 2007 года. Первоначально группировка выступала в роли партнёров для других хакерских групп. Затем они создали собственный банковский троян троян Dridex. Он устанавливался через заражённый файл Word. Так Evil Corp заражала десятки тысяч компьютеров по всему миру. Dridex постоянно эволюционировал, превращаясь в сложный инструмент. Через него со временем Evil Corp стала устанавливать на компьютеры жертв собственную программу-вымогатель BitPaymer[3].

После попадания Evil Corp в американские санкционные списки в декабре 2019 с группировкой из-за опасения вторичных санкций перестали работать компании-переговорщики, которые обычно договариваются об уплате выкупа и расшифровке данных. В июне 2020 года группировка вынужденно переключилась на использование зловреда WastedLocker, в 2021 году появился шифровальщик Hades (букв. — «Аид») (это был 64-битный улучшенный вариант WastedLocker). После Evil Corp выдавала себя за группировку PayloadBin (бывший Babuk) и использовала вымогатели Macaw и Phoenix[4]. Также предполагали, что они могут стоять за вымогателем DoppelPaymer, сменившем имя на Grief[5]. Летом 2022 года исследователи из Mandiant связали с Evil Corp кластер UNC2165, который использует сторонний шифровальщик LockBit[3].

24 июля 2020 американский производитель устройств и сервисов для навигации Garmin подвергся атаке вируса-вымогателя WastedLocker. В результате на несколько дней была остановлена работе сервисов и приложений компании. По сообщениям инсайдеров, компании пришлось заплатить вымогателям из Evil Corp 10 млн долларов[6]. В октябре 2021 группировка использовала шифровальщик Macaw Locker для атак Sinclair Broadcast Group и Olympus и затем требовала с компаний десятки миллионов долларов[7].

В феврале 2022 года американская аналитическая компания Chainalysis заявила, что только за 2021 году хакеры из России заработали на вымогательстве свыше $400 млн или около 74 % всего «рынка». Крупнейшей по доходам группировкой является Evil Corp, на них приходится 9,9 % всех известных доходов от программ-вымогателей в мире[2].

Преследование

13 ноября 2019 года Министерство юстиции США подало документы в Федеральный окружной суд Восточного округа Пенсильвании, обвинив Evil Corp в лице Максима Якубца и Игоря Турашева в ряде киберпреступлений[8].

14 ноября 2019 года окружной суд штата Небраска обвинил Якубца, что он скрывался под никнеймом aqua и связан с распространением трояна ZeuS[9].

5 декабря Управление по контролю за иностранными активами Минфина США включило Якубца, известных членов Evil Corp и 24 юридических лица, связанных с обналичкой их преступных средств, в санкционный SDN-список[10][11].

Государственный департамент США назначил вознаграждение за помощь в поимке Якубца самую большую награду в истории преследования киберпреступников — 5 млн долларов.

После появления информации о включении Evil Corp в санкционные списки члены группировки стали затирать информацию в социальных сетях.

Минфин США считает, что ФСБ использует членов Evil Corp для шпионажа. Так, по данным ведомства, одним из заданий Якубца было получение доступа к неназванным «конфиденциальным документам». Министерство иностранных дел России эти обвинения назвало пропагандистской атакой.

1 октября 2024 года британские власти ввели санкции в отношении 16 членов Evil Corp[12].

Примечания

  1. International law enforcement operation exposes the world’s most harmful cyber crime group (англ.). National Crime Agency (5 декабря 2019). Дата обращения: 11 декабря 2022.
  2. 1 2 Российские хакеры подмяли под себя мировой рынок шифрования файлов и шантажа бизнеса. CNews (15 февраля 2022). Дата обращения: 12 декабря 2022.
  3. 1 2 Мария Нефёдова. Evil Corp перешла на использование малвари LockBit, чтобы избежать санкций. Xakep.ru (3 июня 2022). Дата обращения: 12 декабря 2022.
  4. Мария Нефёдова. Новый шифровальщик Evil Corp маскируется под малварь другой хак-группы. Xakep.ru (8 июня 2021). Дата обращения: 12 декабря 2022.
  5. Ionut Ilascu. DoppelPaymer ransomware gang rebrands as the Grief group (англ.). Bleeping Computer (29 июля 2021). Дата обращения: 12 декабря 2022.
  6. Times: Garmin заплатили 10 млн долларов «русским» хакерам. securitylab.ru (29 июля 2020). Дата обращения: 18 декабря 2022.
  7. Lawrence Abrams. Evil Corp demands $40 million in new Macaw ransomware attacks (англ.). Bleeping Computer (21 октября 2021). Дата обращения: 18 декабря 2022.
  8. International law enforcement operation exposes the world’s most harmful cyber crime group (англ.). Министерство юстиции США (13 ноября 2019). Дата обращения: 11 декабря 2022.
  9. MAKSIM VIKTOROVICH YAKUBETS. Conspiracy; Conspiracy to Commit Fraud; Wire Fraud; Bank Fraud; Intentional Damage to a Computer (англ.). Федеральное бюро расследований (14 ноября 2019). Дата обращения: 11 декабря 2022.
  10. Cyber-related Designations; Counter Terrorism Designation Removal (англ.). Министерство финансов США (5 декабря 2019). Дата обращения: 11 декабря 2022.
  11. Joseph Cox. UK Government Releases Photos of Russian Hackers, Whose Lives Look Awesome (англ.). Vice (5 декабря 2019). Дата обращения: 11 декабря 2022.
  12. Британия ввела санкции против 16 членов хакерской группировки Evil Corp, AiF (1 октября 2024). Дата обращения: 1 октября 2024.

Дополнительно по теме

Категории