De internationale wetshandhaving heeft jarenlang gewerkt aan het ontwrichten van de cybercriminele bende Evil Corp en haar flagrante mondiale misdaadgolf. Maar in een druk veld van productieve Russische cybercriminelen valt Evil Corp vooral op vanwege zijn bijzondere relatie met de Russische inlichtingendienst.

Dinsdag heeft de National Crime Agency van het Verenigd Koninkrijk nieuwe details vrijgegeven over de echte identiteit van vermeende Evil Corp-leden, de connectie van de groep met het LockBit-platform en de banden van de bende met de Russische staat. Onderzoekers hebben steeds vaker vastgesteld dat er losse, tegenprestatie-verbindingen bestaan ​​tussen Russische cybercriminelen en de regering van het land. Maar NCA-functionarissen benadrukken dat Evil Corp een ongewoon voorbeeld is van een bende die directe relaties onderhoudt met meerdere Russische inlichtingendiensten – waaronder de Russische Federale Veiligheidsdienst (FSB); Buitenlandse Inlichtingendienst, of SVR; en de militaire inlichtingendienst bekend als de GRU. En de NCA meldt dat Evil Corp vóór 2019 specifiek ‘opgedragen’ werd door de Russische inlichtingendiensten met het uitvoeren van spionageoperaties en cyberaanvallen tegen niet-geïdentificeerde ‘NAVO-bondgenoten’.

Al meer dan tien jaar gebruikt Evil Corp zijn Dridex-malware en andere hacktools om duizenden bankrekeningen over de hele wereld te compromitteren en geld te stelen. In 2017 breidde de groep zich uit naar ransomware, waarbij gebruik werd gemaakt van soorten als Hades en PhoenixLocker, en vervolgens vanaf 2022 het LockBit-platform als een aangesloten partner gebruikte. De groep heeft ten minste 300 miljoen dollar van slachtoffers afgeperst bovenop de andere buit, en de Verenigde Staten Het ministerie van Buitenlandse Zaken looft een beloning van $5 miljoen uit voor informatie die leidt tot de arrestatie van de vermeende leider van de bende, Maksim Yakubets.

“Het verhaal van Evil Corp is een goed voorbeeld van de zich ontwikkelende dreiging van cybercriminelen en ransomware-exploitanten”, schreef de NCA dinsdag in een gezamenlijk rapport met de FBI en de Australische federale politie. “In hun geval speelden de activiteiten van de Russische staat een bijzonder belangrijke rol, waarbij deze cybercriminaliteitsgroep soms zelfs werd gecoöpteerd voor zijn eigen kwaadaardige cyberactiviteiten.”

In tegenstelling tot veel Russische cybercriminaliteitsgroepen die online een gedistribueerde leiderschapsstructuur hebben ontwikkeld, zeggen NCA-functionarissen dat Evil Corp is georganiseerd als een meer traditioneel misdaadsyndicaat rond de familie en vrienden van Yakubets. Zijn vader, Viktor Yakubets, heeft naar verluidt een achtergrond in het witwassen van geld, en Maksims broer Artem, samen met neven Kirill en Dmitry Slobodskoy, zouden allemaal betrokken zijn bij de groep. Ambtenaren beweren ook dat de groep vanuit fysieke locaties heeft geopereerd, waaronder Chianti Café en Scenario Café in Moskou.

Ambtenaren zeggen dat Maksim Yakubets altijd de belangrijkste contactpersoon is geweest tussen Evil Corp en de Russische inlichtingendienst. Maar ook andere leden, waaronder zijn schoonvader, Eduard Benderskiy, zouden bijdragen aan de relaties. Benderskiy is naar verluidt een voormalige FSB-functionaris die in de mysterieuze ‘Vympel’-eenheid heeft gewerkt en volgens Bellingcat mogelijk betrokken is geweest bij een reeks overzeese moorden. NCA-functionarissen zeggen dat Benderskiy na de Amerikaanse sancties en aanklachten tegen Evil Corp-leden in 2019 heeft gewerkt aan de bescherming van de senior leden van de bende in Rusland.

Ondanks zijn langdurige dominantie heeft Evil Corp zich moeten blijven ontwikkelen om geld te blijven verdienen. Hoewel de groep een verband ontkent, lijkt het erop dat ze sinds 2022 het beruchte ransomware-as-a-service-platform LockBit hebben gebruikt om aanvallen uit te voeren. En de vermeende onderbevelhebber van Yakubets, die NCA-functionarissen dinsdag noemden als Aleksandr Ryzhenkov, hield blijkbaar toezicht op de aanvallen. dit werk. Nadat de internationale wetshandhaving in februari een grote verstoring van LockBit lanceerde, opereert de bende volgens de NCA met verminderde capaciteit.

“Geboren uit een samensmelting van elite-cybercriminelen, heeft het geavanceerde bedrijfsmodel van Evil Corp hen tot een van de meest alomtegenwoordige en hardnekkige tegenstanders van cybercriminaliteit tot nu toe gemaakt”, schreef de NCA. “Na gehinderd te zijn door de sancties en aanklachten van december 2019, is de groep gedwongen hun tactieken te diversifiëren terwijl ze proberen schade te blijven veroorzaken en zich tegelijkertijd aan te passen aan het veranderende ecosysteem van cybercriminaliteit.”