Uluslararası kolluk kuvvetleri, siber suç çetesi Evil Corp’u ve onun korkunç küresel suç çılgınlığını engellemek için yıllardır çalışıyor. Ancak üretken Rus siber suçlularının bulunduğu kalabalık bir alanda Evil Corp, Rus istihbaratıyla olan benzersiz ilişkisiyle dikkat çekiyor.
Salı günü, Birleşik Krallık Ulusal Suç Teşkilatı, Evil Corp üyelerinin gerçek dünyadaki kimlikleri, grubun LockBit platformuyla bağlantısı ve çetenin Rus devletiyle bağları hakkında yeni ayrıntılar yayınladı. Araştırmacılar, Rus siber suçluları ile ülke hükümeti arasında gevşek, karşılıksız bağlantılar olduğunu giderek daha fazla tespit ediyor. Ancak NCA yetkilileri, Evil Corp’un, aralarında Rusya Federal Güvenlik Servisi veya FSB’nin de bulunduğu çok sayıda Rus istihbarat teşkilatı ile doğrudan ilişkisi olan bir çetenin alışılmadık bir örneği olduğunu vurguluyor; Yabancı İstihbarat Servisi veya SVR; ve GRU olarak bilinen askeri istihbarat teşkilatı. Ve NCA, 2019’dan önce Evil Corp’a Rusya’nın istihbarat servisleri tarafından kimliği belirsiz “NATO müttefiklerine” karşı casusluk operasyonları ve siber saldırılar yürütmekle “görevlendirildiğini” bildiriyor.
On yıldan fazla bir süredir Evil Corp, Dridex kötü amaçlı yazılımını ve diğer hackleme araçlarını kullanarak dünya çapında binlerce banka hesabını tehlikeye atıyor ve fonları çalıyor. Grup, 2017’de Hades ve PhoenixLocker gibi türleri kullanarak fidye yazılımlarına doğru genişledi ve 2022’den itibaren bağlı kuruluş olarak LockBit platformunu kullandı. Grup, diğer ganimetlerinin yanı sıra kurbanlardan da en az 300 milyon dolar gasp etti. Dışişleri Bakanlığı, çetenin sözde lideri Maksim Yakubets’in tutuklanmasına yol açacak bilgi verene 5 milyon dolar ödül teklif ediyor.
NCA, Salı günü FBI ve Avustralya Federal Polisi ile ortak bir raporda “Evil Corp’un hikayesi, siber suçlular ve fidye yazılımı operatörlerinin oluşturduğu gelişen tehdidin önemli bir örneğidir” diye yazdı. “Onların durumunda, Rus devletinin faaliyetleri özellikle önemli bir rol oynadı, hatta bazen bu siber suç grubunu kendi kötü niyetli siber faaliyetleri için seçmişti.”
Çevrimiçi olarak dağıtılmış bir liderlik yapısı geliştiren birçok Rus siber suç grubunun aksine NCA yetkilileri, Evil Corp’un Yakubets’in ailesi ve arkadaşları etrafında daha geleneksel bir suç örgütü gibi örgütlendiğini söylüyor. Babası Viktor Yakubets’in kara para aklama konusunda bir geçmişi olduğu iddia ediliyor ve Maksim’in erkek kardeşi Artem ile kuzenleri Kirill ve Dmitry Slobodskoy’un da gruba dahil olduğu iddia ediliyor. Yetkililer ayrıca grubun Moskova’daki Chianti Café ve Scenario Café gibi fiziksel mekanlar dışında da faaliyet gösterdiğini iddia ediyor.
Yetkililer, Maksim Yakubets’in her zaman Evil Corp ile Rus istihbaratı arasındaki birincil irtibat noktası olduğunu söylüyor. Ancak aralarında kayınpederi Eduard Benderskiy’nin de bulunduğu diğer üyelerin de ilişkilere katkıda bulunduğu iddia ediliyor. Benderskiy’nin gizemli ‘Vympel’ biriminde çalışan eski bir FSB yetkilisi olduğu ve Bellingcat’e göre bir dizi denizaşırı suikasta karışmış olabileceği bildiriliyor. NCA yetkilileri, ABD’nin Evil Corp üyelerine yönelik 2019 yaptırımları ve suçlamalarının ardından Benderskiy’nin, çetenin Rusya’daki üst düzey üyelerini korumak için çalıştığını söylüyor.
Uzun süredir hakimiyetine rağmen, Evil Corp para kazanmaya devam etmek için gelişmeye devam etmek zorunda kaldı. Her ne kadar bir ilişki olduğu inkar edilse de grup, 2022’den bu yana saldırılar gerçekleştirmek için kötü şöhretli hizmet olarak fidye yazılımı platformu LockBit’i kullanıyor gibi görünüyordu. Ve NCA yetkililerinin Salı günü Aleksandr Ryzhenkov olarak adlandırdığı Yakubets’in ikinci komutan olduğu iddia edilen kişi de görünüşe göre bu durumu denetliyordu. iş. NCA’ya göre, uluslararası kolluk kuvvetlerinin Şubat ayında LockBit’te büyük bir aksama başlatmasının ardından çete, daha az kapasiteyle faaliyet gösteriyor.
NCA, “Seçkin siber suçluların bir araya gelmesinden doğan Evil Corp’un gelişmiş iş modeli, onları bugüne kadarki en yaygın ve kalıcı siber suç düşmanlarından biri haline getirdi” diye yazdı. “Aralık 2019’daki yaptırımlar ve iddianameler nedeniyle engellenen grup, değişen siber suç ekosistemine uyum sağlarken zarar vermeye devam ederken taktiklerini çeşitlendirmek zorunda kaldı.”