Evil Corp
Evil Corp | |
---|---|
Локация | |
Тип организации | хакерство, постоянная серьёзная угроза |
Руководители | |
Максим Якубец | |
Основание | |
Дата основания | 2007 |
Evil Corp — российская хакерская группировка. Британское национальное агентство по борьбе с преступностью[англ.] (NCA) считает группировку «самой вредоносной в мире»[1]. За информацию, которая приведёт к аресту главаря группировки Максима Якубца США готовы заплатить пять миллионов долларов. По данным исследователей из Chainalysis[англ.], Evil Corp в 2021 году получила около 10 % всех доходов от программ-вымогателей, что делало группировку крупнейшей в мире на этом «рынке»[2].
По данным Минфина США, с 2017 года Evil Corp работает на ФСБ. В конце 2019 года издание «Медуза» в своём расследовании подтвердило тесные связи членов группы с российскими силовиками[3].
Атаки
[править | править код]Evil Corp существует как минимум с 2007 года. Первоначально группировка выступала в роли партнёров для других хакерских групп. Затем они создали собственный банковский троян троян Dridex. Он устанавливался через заражённый файл Word. Так Evil Corp заражала десятки тысяч компьютеров по всему миру. Dridex постоянно эволюционировал, превращаясь в сложный инструмент. Через него со временем Evil Corp стала устанавливать на компьютеры жертв собственную программу-вымогатель BitPaymer[3][4].
После попадания Evil Corp в американские санкционные списки в декабре 2019 с группировкой из-за опасения вторичных санкций перестали работать компании-переговорщики, которые обычно договариваются об уплате выкупа и расшифровке данных. В июне 2020 года группировка вынужденно переключилась на использование зловреда WastedLocker, в 2021 году появился шифровальщик Hades (букв. «Аид») (это был 64-битный улучшенный вариант WastedLocker). После Evil Corp выдавала себя за группировку PayloadBin (бывший Babuk) и использовала вымогатели Macaw и Phoenix[5]. Также предполагали, что они могут стоять за вымогателем DoppelPaymer, сменившем имя на Grief[6]. Летом 2022 года исследователи из Mandiant[англ.] связали с Evil Corp кластер UNC2165, который использует сторонний шифровальщик LockBit[4].
24 июля 2020 американский производитель устройств и сервисов для навигации Garmin подвергся атаке вируса-вымогателя WastedLocker. В результате на несколько дней была остановлена работе сервисов и приложений компании. По сообщениям инсайдеров, компании пришлось заплатить вымогателям из Evil Corp 10 млн долларов[7]. В октябре 2021 группировка использовала шифровальщик Macaw Locker для атак Sinclair Broadcast Group[англ.] и Olympus и затем требовала с компаний десятки миллионов долларов[8].
В феврале 2022 года американская аналитическая компания Chainalysis[англ.] заявила, что только за 2021 год хакеры из России заработали на вымогательстве свыше $400 млн или около 74 % всего «рынка». Крупнейшей по доходам группировкой является Evil Corp, на них приходится 9,9 % всех известных доходов от программ-вымогателей в мире[2].
Преследование
[править | править код]13 ноября 2019 года Министерство юстиции США подало документы в Федеральный окружной суд Восточного округа Пенсильвании, обвинив Evil Corp в лице Максима Якубца и Игоря Турашева в ряде киберпреступлений[3][9].
14 ноября 2019 года окружной суд штата Небраска обвинил Якубца, что он скрывался под никнеймом aqua и связан с распространением трояна ZeuS[3][10].
5 декабря Управление по контролю за иностранными активами Минфина США включило Якубца, известных членов Evil Corp и 24 юридических лица, связанных с обналичкой их преступных средств, в санкционный SDN-список[3][11][12].
Государственный департамент США назначил вознаграждание за помощь в поимке Якубца самую большую награду в истории преследования киберпреступников — 5 млн долларов[3].
После появления информации о включении Evil Corp в санционные списки члены группировки стали затирать информацию в социальных сетях[3][13].
Минфин США считает, что ФСБ использует членов Evil Corp для шпионажа. Так, по данным ведомства, одним из заданий Якубца было получение доступа к неназванным «конфиденциальным документам». Министерство иностранных дел России эти обвинения называли «пропагандистской атакой»[3].
Члены группировки
[править | править код]Группировка сформировалась около 2011 года, на конец 2019 года, по данным расследования минюста США, в неё входили 17 человек из 6 стран. Значительное число участников — выходцы или граждане Украины. Из Украины происходит и лидер группировки Максим Якубец[3].
Якубец ещё в 2010 году проходил обвиняемым по американскому делу хакерской группировки Jabber Zeus Crew, заражавшей компьютеры трояном ZeuS для кражи денег с электронных кошельков и банковских счетов по всему миру. Якубца могли обвинить по двум статьям уголовного кодекса США: «посягательство на совершение преступления» и «мошенничество в банковской сфере». Ему грозило несколько десятков лет заключения. Тогда российская ФСБ сотрудничала с американскими правоохранителями и 24 ноября 2010 года пришла с обыском в московскую квартиру Якубца. Вычислить его оказалось несложно, так как рабочую почту он использовал для заказа на дом детской коляски для своего сына. Вероятно, после тех обысков он был завербован российскими «силовиками», которые с конца 1990-х обеспечивали покровительство хакерам за «выполнение государственных задач»[3].
Летом 2017 года совместная группа расследователей из ФБР (США), Национального центра кибербезопасности (Германия) и Национальное агентство по борьбе с преступностью[англ.] (Великобритания) установила, что Якубец сыграл роскошную свадьбу стоимостью 500—600 тысяч долларов. На ней в качестве приглашенного артиста выступал Леонид Агутин. Радио «Свобода» выяснило, что невестой была Алёна Бендерская, дочь Эдуарда Бендерского — ветерана спецназа ФСБ «Вымпел», главы одноименного объединения частных охранных предприятий, участника скандалов, связанных с охотой на краснокнижных животных. Министерство финансов США утверждало, что Якубец с апреля 2018 находился в процессе получения лицензии ФСБ на работу со сведениями, составляющими государственную тайну[3][13][14].
Самым публичным участником Evil Corp был Андрей Плотницкий, сын бывшего главы подмосковных Химок Владимира Стрельченко. Плотницкий, как и другие члены группировки, владеют дорогими спортивными автомобилями, в том числе несколькими Lamborghini, на которых устраивали заезды по Москве и Сочи. В Сочи члены Evil Corp часто отдыхали, опасаясь выезжать за пределы России. Как минимум на 4 машинах группировки номерные знаки образовывали слово «ВОР»[3].
В ноябре 2021 года журналисты ВВС опубликовали расследование, в котором рассказали, что системный администратор группировки Игорь Турашев управляет несколькими предприятиями из комплекса «Федерация» в Москва-Сити. Там же базируются несколько криптовалютных компаний, которые использовались хакерами для отмывания незаконных средств и конвертации криптовалюты в фиатные деньги[14].
Примечания
[править | править код]- ↑ International law enforcement operation exposes the world’s most harmful cyber crime group (англ.). National Crime Agency[англ.] (5 декабря 2019). Дата обращения: 11 декабря 2022. Архивировано 11 декабря 2022 года.
- ↑ 1 2 Российские хакеры подмяли под себя мировой рынок шифрования файлов и шантажа бизнеса . CNews (15 февраля 2022). Дата обращения: 12 декабря 2022. Архивировано 12 декабря 2022 года.
- ↑ 1 2 3 4 5 6 7 8 9 10 11 12 Ручные хакеры, экстравагантные миллионеры . Meduza (11 декабря 2019). Дата обращения: 11 декабря 2022. Архивировано 16 января 2022 года.
- ↑ 1 2 Мария Нефёдова. Evil Corp перешла на использование малвари LockBit, чтобы избежать санкций . Xakep.ru (3 июня 2022). Дата обращения: 12 декабря 2022. Архивировано 12 декабря 2022 года.
- ↑ Мария Нефёдова. Новый шифровальщик Evil Corp маскируется под малварь другой хак-группы . Xakep.ru (8 июня 2021). Дата обращения: 12 декабря 2022. Архивировано 12 декабря 2022 года.
- ↑ Ionut Ilascu. DoppelPaymer ransomware gang rebrands as the Grief group (англ.). Bleeping Computer (29 июля 2021). Дата обращения: 12 декабря 2022. Архивировано 12 декабря 2022 года.
- ↑ Times: Garmin заплатили 10 млн долларов «русским» хакерам . securitylab.ru (29 июля 2020). Дата обращения: 18 декабря 2022. Архивировано 18 декабря 2022 года.
- ↑ Lawrence Abrams. Evil Corp demands $40 million in new Macaw ransomware attacks (англ.). Bleeping Computer (21 октября 2021). Дата обращения: 18 декабря 2022. Архивировано 18 декабря 2022 года.
- ↑ International law enforcement operation exposes the world’s most harmful cyber crime group (англ.). Министерство юстиции США (13 ноября 2019). Дата обращения: 11 декабря 2022. Архивировано 19 января 2023 года.
- ↑ MAKSIM VIKTOROVICH YAKUBETS. Conspiracy; Conspiracy to Commit Fraud; Wire Fraud; Bank Fraud; Intentional Damage to a Computer (англ.). Федеральное бюро расследований (14 ноября 2019). Дата обращения: 11 декабря 2022. Архивировано 3 января 2022 года.
- ↑ Cyber-related Designations; Counter Terrorism Designation Removal (англ.). Министерство финансов США (5 декабря 2019). Дата обращения: 11 декабря 2022. Архивировано 11 декабря 2022 года.
- ↑ Joseph Cox. UK Government Releases Photos of Russian Hackers, Whose Lives Look Awesome (англ.). Vice (5 декабря 2019). Дата обращения: 11 декабря 2022. Архивировано 11 декабря 2022 года.
- ↑ 1 2 Марк Крутов, Сергей Добрынин. Зять на 5 миллионов . Радио «Свобода» (9 декабря 2019). Дата обращения: 11 декабря 2022. Архивировано 11 декабря 2022 года.
- ↑ 1 2 Joe Tidy. Evil Corp: 'My hunt for the world's most wanted hackers' (англ.). BBC (17 ноября 2021). Дата обращения: 18 декабря 2022. Архивировано 17 декабря 2022 года.