في عام 2019 ، وجهت وزارة العدل الأمريكية اتهامات ضد المواطن الروسي مكسيم ياكوبيتس ، حيث عرضت مكافأة قدرها 5 ملايين دولار مقابل معلومات أدت إلى اعتقاله.

لم يتقدم أحد بمعلومات من شأنها أن تسمح للسلطات الأمريكية بالقبض على Yakubets المراوغة والغامضة حتى الآن. لا يزال طليقًا ، كقائد لشركة Evil Corp - إحدى مجموعات الهاكرز الأكثر شهرة ونجاحًا في كل العصور.

نشطت منذ عام 2009 ، Evil Corp - المعروفة أيضًا باسم عصابة Dridex أو INDRIK SPIDER - راهنت بشن هجوم مستمر على الشركات والبنوك والمؤسسات المالية في جميع أنحاء العالم ، يسرقون مئات الملايين من الدولارات في معالجة.

دعونا نلقي نظرة على مدى خطورة هذه المجموعة.

تطور Evil Corp

لقد تغيرت أساليب Evil Corp بشكل كبير على مر السنين ، حيث تطورت تدريجياً من مجموعة قراصنة القبعة السوداء النموذجية ذات الدوافع المالية إلى جماعة متطورة للغاية للجرائم الإلكترونية.

عندما وجهت وزارة العدل لائحة اتهام ضد ياقوبيتس في عام 2019 ، فإن وزارة الخزانة الأمريكيةأصدر مكتب مراقبة الأصول الأجنبية التابع لـ (OFAC) عقوبات ضد شركة Evil Corp. نظرًا لأن العقوبات تنطبق أيضًا على أي شركة تدفع فدية لشركة Evil Corp أو تسهل الدفع ، كان على المجموعة التكيف.

instagram viewer

استخدمت شركة Evil Corp ترسانة كبيرة من البرامج الضارة لاستهداف المؤسسات. ستنظر الأقسام التالية في أكثر الأقسام شهرة.

دريدكس

تم اكتشاف Dridex ، المعروف أيضًا باسم Bugat و Cridex ، لأول مرة في عام 2011. حصان طروادة المصرفي الكلاسيكي الذي يشترك في العديد من أوجه التشابه مع زيوس سيئ السمعة ، تم تصميم Dridex لسرقة المعلومات المصرفية ويتم نشره عادةً عبر البريد الإلكتروني.

باستخدام Dridex ، تمكنت Evil Corp من سرقة أكثر من 100 مليون دولار من مؤسسات مالية في أكثر من 40 دولة. يتم تحديث البرامج الضارة باستمرار بميزات جديدة ولا تزال تمثل تهديدًا نشطًا على مستوى العالم.

لوكي

يصيب Locky الشبكات عن طريق المرفقات الضارة في رسائل البريد الإلكتروني المخادعة. المرفق ، مستند Microsoft Word ، يحتوي على فيروسات الماكرو. عندما يفتح الضحية المستند ، وهو غير قابل للقراءة ، يظهر مربع حوار به العبارة: "تمكين الماكرو إذا كان ترميز البيانات غير صحيح".

عادةً ما تخدع تقنية الهندسة الاجتماعية البسيطة هذه الضحية لتمكين وحدات الماكرو ، التي تحفظ وتعمل كملف ثنائي. يقوم الملف الثنائي تلقائيًا بتنزيل برنامج التشفير Trojan ، الذي يقفل الملفات على الجهاز ويوجه المستخدم إلى موقع ويب يطالب بدفع فدية.

بارت

عادةً ما يتم نشر بارت كصورة عبر رسائل البريد الإلكتروني للتصيد الاحتيالي. يقوم بمسح الملفات الموجودة على الجهاز بحثًا عن امتدادات معينة (الموسيقى ومقاطع الفيديو والصور وما إلى ذلك) ويقفلها في أرشيفات مضغوطة محمية بكلمة مرور.

بمجرد أن يحاول الضحية فك أرشيف ZIP ، يتم تقديم مذكرة فدية له (باللغة الإنجليزية ، الألمانية أو الفرنسية أو الإيطالية أو الإسبانية ، اعتمادًا على الموقع) وطلب منه تقديم دفعة فدية بيتكوين.

جاف

عندما تم نشره لأول مرة ، طار Jaff ransomware تحت الرادار لأن خبراء الأمن السيبراني والصحافة ركزوا على WannaCry. ومع ذلك ، هذا لا يعني أنه ليس خطيرًا.

يشبه إلى حد كبير Locky ، يصل Jaff كمرفق بريد إلكتروني — عادةً كمستند PDF. بمجرد أن يفتح الضحية المستند ، يرى نافذة منبثقة تسأل عما إذا كانوا يريدون فتح الملف. بمجرد القيام بذلك ، يتم تنفيذ وحدات الماكرو وتشغيلها كملف ثنائي وتشفير الملفات على الجهاز.

BitPaymer

استخدمت Evil Corp بشكل سيئ برنامج BitPaymer ransomware لاستهداف المستشفيات في المملكة المتحدة في عام 2017. تم تطوير BitPaymer لاستهداف المؤسسات الكبرى ، وعادةً ما يتم تسليمه عبر هجمات القوة الغاشمة ويتطلب مدفوعات فدية عالية.

متعلق ب:ما هي هجمات القوة الغاشمة؟ كيف تحمي نفسك

تم تداول الإصدارات الأحدث من BitPaymer من خلال تحديثات Flash و Chrome الوهمية. بمجرد وصوله إلى الشبكة ، يقوم برنامج الفدية هذا بتأمين الملفات باستخدام خوارزميات تشفير متعددة ويترك مذكرة فدية.

ضائع

بعد أن فرضت وزارة الخزانة عقوبات عليها ، أصبحت شركة Evil Corp تحت الرادار. لكن ليس لوقت طويل عاودت المجموعة الظهور في عام 2020 باستخدام برنامج فدية جديد ومعقد يسمى WastedLocker.

عادةً ما يتم تداول WastedLocker في تحديثات مستعرض مزيفة ، وغالبًا ما يتم عرضها على مواقع ويب شرعية - مثل المواقع الإخبارية.

بمجرد تنزيل الضحية للتحديث الوهمي ، ينتقل WastedLocker إلى أجهزة أخرى على الشبكة ويقوم بتصعيد الامتياز (يحصل على وصول غير مصرح به من خلال استغلال نقاط الضعف الأمنية).

بعد التنفيذ ، يقوم WastedLocker بتشفير جميع الملفات التي يمكنه الوصول إليها وإعادة تسميتها إليها قم بتضمين اسم الضحية مع كلمة "ضاع" وتطالب بدفع فدية تتراوح بين 500000 دولار و 10 دولارات مليون.

حادس

تم اكتشاف برنامج Hades ransomware لأول مرة في ديسمبر 2020 ، ويبدو أنه نسخة محدثة من WastedLocker.

بعد الحصول على بيانات اعتماد شرعية ، فإنه يتسلل إلى الأنظمة من خلال إعدادات الشبكة الافتراضية الخاصة (VPN) أو بروتوكول سطح المكتب البعيد (RDP) ، عادةً عن طريق هجمات القوة الغاشمة.

عند الهبوط على جهاز الضحية ، يكرر Hades نفسه ويعيد التشغيل من خلال سطر الأوامر. ثم يتم تشغيل ملف قابل للتنفيذ ، مما يسمح للبرامج الضارة بفحص النظام وتشفير الملفات. ثم يترك البرنامج الضار مذكرة فدية ، يوجه الضحية لتثبيت Tor وزيارة عنوان ويب.

والجدير بالذكر أن عناوين الويب تُخصص أوراق Hades لكل هدف. يبدو أن Hades استهدفت بشكل حصري المنظمات التي تزيد إيراداتها السنوية عن مليار دولار.

الحمولة

يبدو أن شركة Evil Corp تنتحل شخصية مجموعة Babuk الهاكر وتنشر PayloadBIN ransomware.

ذات صلة: ما هو بابوك لوكر؟ عصابة برامج الفدية التي يجب أن تعرفها

تم اكتشافه لأول مرة في عام 2021 ، يقوم PayloadBIN بتشفير الملفات وإضافة ".PAYLOADBIN" كملحق جديد ، ثم تسليم مذكرة فدية.

صلات مشبوهة بالاستخبارات الروسية

شركة الاستشارات الأمنية تروسيككشف تحليل حوادث برامج الفدية التي تنطوي على شركة Evil Corp أن المجموعة استخدمت تقنيات مماثلة استخدمها قراصنة مدعومون من الحكومة الروسية لتنفيذ العملية المدمرة. هجوم SolarWinds في عام 2020.

وجد الباحثون أنه على الرغم من قدرتها العالية ، إلا أن شركة Evil Corp كانت غير مبالية بشأن استخراج مدفوعات الفدية. هل يمكن أن تكون الجماعة تنشر هجمات برمجيات الفدية كتكتيك إلهاء لإخفاء هدفها الحقيقي: التجسس الإلكتروني؟

وفقًا لـ Truesec ، تشير الأدلة إلى أن Evil Corp "تحولت إلى منظمة تجسس مرتزقة خاضعة للرقابة من قبل المخابرات الروسية ولكنهم يختبئون خلف واجهة حلقة جرائم الإنترنت ، مما يطمس الخطوط الفاصلة بين الجريمة و تجسس."

يقال إن Yakubets لها علاقات وثيقة مع جهاز الأمن الفيدرالي (FSB) - الوكالة الخلف الرئيسية لجهاز KGB في الاتحاد السوفيتي. وبحسب ما ورد تزوج من ابنة ضابط FSB رفيع المستوى إدوارد بندرسكي في صيف عام 2017.

أين ستضرب شركة Evil Corp بعد ذلك؟

نمت شركة Evil Corp إلى مجموعة متطورة قادرة على تنفيذ هجمات بارزة على المؤسسات الكبرى. كما يسلط هذا المقال الضوء على ، فقد أثبت أعضاؤه أنهم قادرون على التكيف مع المحن المختلفة - مما يجعلها أكثر خطورة.

على الرغم من أن لا أحد يعرف أين سيضربون بعد ذلك ، فإن نجاح المجموعة يسلط الضوء على أهمية حماية نفسك عبر الإنترنت وعدم النقر على الروابط المشبوهة.

يشاركسقسقةبريد الالكتروني
أكثر 5 عصابات جرائم الإنترنت المنظمة سيئة السمعة

تمثل الجريمة الإلكترونية تهديدًا يتحدىنا جميعًا. تتطلب الوقاية تثقيفًا ، لذا فقد حان الوقت للتعرف على أسوأ مجموعات الجرائم الإلكترونية.

اقرأ التالي

مواضيع ذات صلة
  • حماية
  • القرصنة
  • الأمن على الإنترنت
  • حماية
نبذة عن الكاتب
دامير موجيزينوفيتش (4 مقالات منشورة)

دامير كاتب ومراسل مستقل يركز عمله على الأمن السيبراني. خارج الكتابة ، يستمتع بالقراءة والموسيقى والسينما.

المزيد من Damir Mujezinovic

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك