Las autoridades internacionales han trabajado durante años para desbaratar la banda cibercriminal Evil Corp y su atroz ola de crímenes a nivel mundial. Pero en un campo abarrotado de prolíficos ciberdelincuentes rusos, Evil Corp se destaca más por su singular relación con la inteligencia rusa.
El martes, la Agencia Nacional contra el Crimen del Reino Unido publicó nuevos detalles sobre las identidades en el mundo real de los presuntos miembros de Evil Corp, la conexión del grupo con la plataforma LockBit y los vínculos de la pandilla con el estado ruso. Los investigadores han establecido cada vez más que existen conexiones sueltas y quid pro quo entre los ciberdelincuentes rusos y el gobierno del país. Pero los funcionarios de la NCA enfatizan que Evil Corp es un ejemplo inusual de una pandilla que tiene relaciones directas con múltiples agencias de inteligencia rusas, incluido el Servicio Federal de Seguridad de Rusia, o FSB; Servicio de Inteligencia Exterior, o SVR; y la agencia de inteligencia militar conocida como GRU. Y la NCA informa que antes de 2019, los servicios de inteligencia rusos “encargaron” específicamente a Evil Corp realizar operaciones de espionaje y ataques cibernéticos contra “aliados de la OTAN” no identificados.
Durante más de una década, Evil Corp ha utilizado su malware Dridex y otras herramientas de piratería para comprometer miles de cuentas bancarias en todo el mundo y robar fondos. En 2017, el grupo se expandió al ransomware, utilizando cepas como Hades y PhoenixLocker, y luego utilizó el Plataforma LockBit como afiliado a partir de 2022. El grupo ha extorsionado al menos 300 millones de dólares a las víctimas, además de su otro botín, y el Departamento de Estado de los Estados Unidos está ofreciendo una recompensa de 5 millones de dólares en busca de información que conduzca al arresto del presunto líder de la banda, Maksim Yakubets.
“La historia de Evil Corp es un excelente ejemplo de la evolución de la amenaza que plantean los ciberdelincuentes y los operadores de ransomware”, escribió la NCA el martes en un informe conjunto con el FBI y la Policía Federal Australiana. “En su caso, las actividades del Estado ruso jugaron un papel particularmente significativo, a veces incluso cooptando a este grupo de cibercrimen para su propia actividad cibernética maliciosa”.
A diferencia de muchos grupos rusos de cibercrimen que han desarrollado una estructura de liderazgo distribuida en línea, los funcionarios de la NCA dicen que Evil Corp está organizado como un sindicato criminal más tradicional en torno a la familia y los amigos de Yakubets. Su padre, Viktor Yakubets, supuestamente tiene experiencia en lavado de dinero, y el hermano de Maksim, Artem, junto con sus primos Kirill y Dmitry Slobodskoy, supuestamente están involucrados con el grupo. Los funcionarios también alegan que el grupo ha operado desde lugares físicos, incluidos Chianti Café y Scenario Café en Moscú.
Los funcionarios dicen que Maksim Yakubets siempre ha sido el enlace principal entre Evil Corp y la inteligencia rusa. Pero otros miembros, incluido su suegro, Eduard Benderskiy, también supuestamente contribuyen a las relaciones. Benderskiy es Según se informa, un ex funcionario del FSB que trabajó en la misteriosa unidad “Vympel”. y, según Bellingcat, pudo haber estado involucrado en una serie de asesinatos en el extranjero. Los funcionarios de la NCA dicen que después de las sanciones y acusaciones de Estados Unidos en 2019 contra miembros de Evil Corp, Benderskiy trabajó para proteger a los miembros principales de la pandilla dentro de Rusia.
A pesar de su dominio desde hace mucho tiempo, Evil Corp ha tenido que seguir evolucionando para seguir ganando dinero. Si bien niega una relación, el grupo parecía haber utilizado la notoria plataforma de ransomware como servicio LockBit para realizar ataques desde 2022. Y el presunto segundo al mando de Yakubets, a quien los funcionarios de la NCA nombraron el martes como Aleksandr Ryzhenkov, aparentemente estaba supervisando esto. trabajar. Después de que las autoridades internacionales lanzaran una gran interrupción de LockBit en febreroDesde entonces, la banda ha estado operando con una capacidad reducida, según la NCA.
“Nacido de una fusión de cibercriminales de élite, el sofisticado modelo de negocio de Evil Corp los convirtió en uno de los adversarios del cibercrimen más generalizados y persistentes hasta la fecha”, escribió la NCA. “Después de verse obstaculizado por las sanciones y acusaciones de diciembre de 2019, el grupo se ha visto obligado a diversificar sus tácticas mientras intentan seguir causando daño mientras se adaptan al cambiante ecosistema del cibercrimen”.