Evil Corp siber suç örgütü ABD, İngiltere ve Avustralya tarafından yeni yaptırımlarla vuruldu; ABD ayrıca üyelerinden birini BitPaymer fidye yazılımı saldırıları düzenlemekle suçladı.
2019’da ABD, Evil Corp çetesiyle bağlantılı on yedi kişi ve yedi kuruluşa, grubun lideri Maksim Yakubets de dahil olmak üzere yaptırım uyguladı.
Bugün, ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC), siber suç operasyonuyla bağlantılı yedi kişiye ve iki kuruluşa daha yaptırım uyguladı.
Birleşik Krallık ve Avustralya, üçlü bir eylemle, OFAC’ın bugün veya 2019 yaptırımlarında belirlediği Evil Corp şüphelilerinden bazılarına da yaptırım uyguluyor.
Yaptırım uygulanan kişiler şunlardır: Eduard Benderskiy (Maksim’in kayınpederi), Viktor Grigoryevich Yakubets (Maksim’in babası), Aleksandr Viktorovich Ryzhenkov, Sergey Viktorovich Ryzhenkov, Aleksey Yevgenevich Shchetinin, Beyat Enverovich Ramazanov ve Vadim Gennadievich Pogodin.
Yaptırım uygulanan iki kuruluş, Evil Corp’un lideri Maksim Yakubets’in kayınpederi Benderskiy’e ait olan Vympel-Assistance LLC ve Solar-Invest LLC’dir.
“Eduard Benderskiy (Benderskiy), çok sayıda OFAC yaptırım yetkilisi tarafından belirlenen Rusya Federal Güvenlik Servisi’nin (FSB) eski bir Spetnaz subayı, mevcut Rus iş adamı ve Evil Corp’un lideri Maksim Viktorovich Yakubets’in (Maksim) kayınpederi. ), Evil Corp’un Rus devleti ile ilişkisinin önemli bir kolaylaştırıcısı olmuştur”, diye iddia ediyor ABD Hazine Bakanlığı’nın duyurusu.
NCA’nın ortak bir duyurusunda, “Benderskiy, 2019’dan önce Evil Corp’u NATO müttefiklerine karşı siber saldırılar ve casusluk operasyonları yürütmekle görevlendiren Rus İstihbarat Servisleri ile olan ilişkilerinin önemli bir sağlayıcısıydı” iddia ediliyor.
Bu yaptırımların bir parçası olarak şahsın varlıkları donduruldu ve ABD, İngiltere ve Avustralya’daki işletmeler artık onlarla işlem yapamıyor.
Bu aynı zamanda Evil Corp’un fidye yazılımı saldırılarına maruz kalan kuruluşların artık OFAC onayı olmadan fidye ödemesi yapamayacağı veya yaptırım ihlalleriyle karşı karşıya kalma riskiyle karşı karşıya kalamayacağı anlamına da geliyor.
Evil Corp üyesinin kimliği belirlendi ve suçlandı
ABD ayrıca bugün, Evil Corp üyesi olduğundan şüphelenilen Aleksandr Ryzhenkov’a karşı ABD’de çok sayıda kurbana fidye yazılımı saldırıları düzenlediği iddiasını açıkladı.
Ryzhenkov, BitPaymer fidye yazılımını ABD’deki şirketlere yönelik çok sayıda saldırıda kullanmakla suçlanıyor. BitPaymer, Evil Corp’un 2017 yılında saldırılarda kullanmaya başladığı ilk fidye yazılımı şifreleyicisidir.
Adalet Bakanlığının duyurusunda, “İddianameye göre, en azından Haziran 2017’den itibaren Ryzhenkov’un mağdurların bilgisayar ağlarında saklanan bilgilere yetkisiz erişim sağladığı iddia ediliyor.”
“Ryzhenkov ve komplocularının daha sonra iddiaya göre BitPaymer olarak bilinen fidye yazılımı türünü konuşlandırdılar ve bunu kurban şirketlerin dosyalarını şifreleyerek onları erişilemez hale getirmek için kullandılar. Kurbanların sistemlerine bırakılan bir elektronik notta bir fidye talebi ve nasıl iletişime geçileceğine dair talimatlar yer alıyordu. Saldırganlar fidye görüşmelerine başlayacak.
“Ryzhenkov ve komplocularının, mağdurlardan şifre çözme anahtarı almak ve hassas bilgilerinin çevrimiçi olarak kamuya açıklanmasını önlemek için fidye ödemelerini talep ettikleri iddia ediliyor.”
Cronos Operasyonu kapsamında NCA, Ryzhenkov’u bir LockBit üyesi olarak tanımladı ve Ryzhenkov bu kapsamda çok sayıda kuruluşa saldırdı.
NCA duyurusunda “Aynı zamanda grubun devam eden NCA liderliğindeki uluslararası kesintisi olan Cronos Operasyonu’nun bir parçası olarak LockBit üyesi olduğu da belirlendi” denildi.
“Grubun kendi sistemlerinden elde edilen verileri analiz eden araştırmacılar, onun çok sayıda kuruluşa yönelik LockBit fidye yazılımı saldırılarına karıştığını tespit etti.”
Ryzhenkov’un bugün OFAC, İngiltere ve Avustralya tarafından onaylananların bir parçası olduğu ve Rusya’da yaşadığına inanılıyor.
Evil Corp kimdir?
Evil Corp, Dridex bankacılık Truva Atı’nı ve dünya çapındaki saldırılarda kullanılan çeşitli fidye yazılımı ailelerini oluşturup dağıtmasıyla tanınan bir siber suç örgütüdür.
Siber suç çetesi ilk başladığında, çevrimiçi bankacılık kimlik bilgilerini çalarak ve daha sonra bunları kontrolleri altındaki banka hesaplarına para aktarmak için kullanarak mali dolandırıcılık yapmak için Dridex truva atını kullandı.
2017 yılında, kurumsal hedefli fidye yazılımı saldırıları ortaya çıkmaya başladığında ekip, dünya çapındaki şirketlere yönelik saldırılarda kullanılmak üzere BitPaymer fidye yazılımını yarattı.
2019’da Evil Corp ayrıldı ve bazı üyeler DoppelPaymer olarak bilinen ve BitPaymer ile aynı kodun çoğunu paylaşan yeni bir fidye yazılımı operasyonu oluşturdu. DoppelPaymer, 2022 yılına kadar kuruluşlara saldırmaya devam etti ve markasını iki kez Grief (diğer adıyla Pay veya Grief) ve Entropy fidye yazılımı olarak yeniden adlandırdı.
ABD, Evil Corp üyelerini 100 milyon dolardan fazla hırsızlık yapmakla suçladıktan sonra, çetenin lideri Maksim Yakubets ve siber suç çetesinin diğer üyelerini Yabancı Varlıklar Kontrol Ofisi’nin (OFAC) yaptırım listesine ekledi.
Bu yaptırımlar nedeniyle, birçok fidye yazılımı müzakere firması, yaptırımları ihlal etme riski nedeniyle Evil Corp operasyonlarıyla ödeme yapmayı reddetti.
Evil Corp, ABD yaptırımlarından kaçınmak için WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin ve Macaw gibi farklı isimler altında yeni fidye yazılımı türlerini kullandı.
Bununla birlikte, tüm bu şifreleyiciler ortak bir kod tabanını paylaştığından, bunların Evil Corp’a ait olduğu kolayca tespit edildi. Bu, çetenin bazı üyelerinin yaptırımlardan daha fazla kaçınmak için saldırılarda LockBit fidye yazılımını kullanmasına yol açtı.