Forças de segurança internacionais trabalham há anos para interromper as atividades da gangue de cibercriminosos Evil Corp e sua notória série de crimes globais.
Mas, em um cenário repleto de cibercriminosos russos prolíficos, Evil Corp é especialmente notável por sua relação única com a inteligência russa.
Na terça-feira(15), a Agência Nacional de Crime do Reino Unido divulgou novos detalhes sobre as identidades reais dos supostos membros do Evil Corp, a conexão do grupo com a plataforma LockBit e os vínculos da gangue com o estado russo.
Pesquisadores têm estabelecido cada vez mais que existem conexões soltas, quid pro quo, entre cibercriminosos russos e o governo do país.
Mas os oficiais da NCA enfatizam que Evil Corp é um exemplo incomum de uma gangue que tem relações diretas com múltiplas agências de inteligência russas — incluindo o Serviço Federal de Segurança da Rússia, ou FSB; o Serviço de Inteligência Estrangeira, ou SVR; e a agência de inteligência militar conhecida como GRU.
E a NCA relata que, antes de 2019, Evil Corp foi especificamente "encarregado" pelos serviços de inteligência da Rússia de conduzir operações de espionagem e ciberataques contra “aliados da OTAN” não identificados.
Por mais de uma década, Evil Corp usou seu malware Dridex e outras ferramentas de hacking para comprometer milhares de contas bancárias ao redor do mundo e roubar fundos.
Em 2017, o grupo expandiu suas operações para ransomware, usando cepas como Hades e PhoenixLocker, e depois utilizando a plataforma LockBit como afiliado a partir de 2022.
O grupo extorquiu pelo menos $300 milhões de vítimas, além de outros espólios, e o Departamento de Estado dos Estados Unidos está oferecendo uma recompensa de $5 milhões por informações que levem à prisão do suposto líder do grupo, Maksim Yakubets.
“A história do Evil Corp é um exemplo primordial da ameaça evolutiva representada por cibercriminosos e operadores de ransomware”, escreveu a NCA na terça-feira em um relatório conjunto com o FBI e a Polícia Federal Australiana.
No caso deles, as atividades do estado russo desempenharam um papel particularmente significante, às vezes até cooptando esse grupo de cibercrime para sua própria atividade cibercriminosa maliciosa.
Ao contrário de muitos grupos de cibercrime russos que evoluíram para uma estrutura de liderança distribuída online, oficiais da NCA dizem que Evil Corp é organizada como um sindicato de crime mais tradicional em torno da família e amigos de Yakubets.
Seu pai, Viktor Yakubets, supostamente tem um histórico em lavagem de dinheiro, e o irmão de Maksim, Artem, junto aos primos Kirill e Dmitry Slobodskoy, estão todos supostamente envolvidos com o grupo.
Oficiais também alegam que o grupo operou a partir de locais físicos, incluindo o Chianti Café e o Scenario Café em Moscou.
Oficiais dizem que Maksim Yakubets sempre foi o principal intermediário entre Evil Corp e a inteligência russa.
Mas outros membros, incluindo seu sogro, Eduard Benderskiy, também supostamente contribuem para as relações.
Benderskiy é reportadamente um ex-oficial do FSB que trabalhou na misteriosa unidade ‘Vympel’ e, de acordo com a Bellingcat, pode ter estado envolvido em uma série de assassinatos no exterior.
Oficiais da NCA dizem que após as sanções e acusações dos EUA contra membros do Evil Corp em 2019, Benderskiy trabalhou para proteger os membros seniores da gangue dentro da Rússia.
Apesar de seu longo domínio, Evil Corp teve que continuar evoluindo para seguir ganhando dinheiro.
Embora negue uma relação, o grupo parece ter utilizado a notória plataforma ransomware-as-a-service LockBit para conduzir ataques desde 2022.
E o suposto segundo em comando de Yakubets, a quem oficiais da NCA nomearam na terça-feira como Aleksandr Ryzhenkov, estava aparentemente supervisionando esse trabalho.
Após as forças de segurança internacionais lançarem uma grande interrupção do LockBit em fevereiro, a gangue tem operado em uma capacidade diminuída, segundo a NCA.
“Originado de uma coalização de cibercriminosos de elite, o modelo de negócios sofisticado do Evil Corp os tornou um dos adversários de cibercrime mais pervasivos e persistentes até hoje”, escreveu a NCA.
Após serem prejudicados pelas sanções e acusações de dezembro de 2019, o grupo foi forçado a diversificar suas táticas enquanto tentam continuar causando danos enquanto se adaptam ao ecossistema de cibercrime em mudança.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...