Evil Corp: Menyelami Salah Satu Grup Peretas Paling Terkenal di Dunia

Pada tahun 2019, Departemen Kehakiman Amerika Serikat mengajukan tuntutan terhadap warga negara Rusia Maksim Yakubets, menawarkan hadiah $ 5 juta untuk informasi yang mengarah pada penangkapannya.

Tidak ada yang datang dengan informasi yang memungkinkan otoritas AS untuk menangkap Yakubet yang sulit dipahami dan misterius sejauh ini. Dia masih buron, sebagai pemimpin Evil Corp—salah satu kelompok peretas paling terkenal dan sukses sepanjang masa.

Aktif sejak 2009, Evil Corp—juga dikenal sebagai geng Dridex atau INDRIK SPIDER—telah melakukan serangan berkelanjutan terhadap entitas perusahaan, bank, dan lembaga keuangan di seluruh dunia, mencuri ratusan juta dolar di proses.

Mari kita lihat betapa berbahayanya grup ini.

Evolusi Evil Corp

Metode Evil Corp telah banyak berubah selama bertahun-tahun, karena secara bertahap berevolusi dari kelompok peretas topi hitam yang bermotivasi finansial menjadi kelompok kejahatan dunia maya yang sangat canggih.

Ketika Departemen Kehakiman mendakwa Yakubets pada tahun 2019,

Departemen Keuangan ASKantor Pengawasan Aset Asing (OFAC) mengeluarkan sanksi terhadap Evil Corp. Karena sanksi juga berlaku untuk perusahaan mana pun yang membayar uang tebusan kepada Evil Corp atau memfasilitasi pembayaran, grup tersebut harus beradaptasi.

Evil Corp telah menggunakan gudang malware yang luas untuk menargetkan organisasi. Bagian berikut akan melihat yang paling terkenal.

Dridex

Juga dikenal sebagai Bugat dan Cridex, Dridex pertama kali ditemukan pada tahun 2011. Sebuah trojan perbankan klasik yang memiliki banyak kesamaan dengan Zeus yang terkenal, Dridex dirancang untuk mencuri informasi perbankan dan biasanya disebarkan melalui email.

Menggunakan Dridex, Evil Corp telah berhasil mencuri lebih dari $100 juta dari lembaga keuangan di lebih dari 40 negara. Malware ini terus diperbarui dengan fitur-fitur baru dan tetap menjadi ancaman aktif secara global.

Locky

Locky menginfeksi jaringan melalui lampiran berbahaya dalam email phishing. Lampiran, dokumen Microsoft Word, mengandung virus makro. Ketika korban membuka dokumen yang tidak dapat dibaca, kotak dialog dengan frasa: "Aktifkan makro jika penyandian data salah" muncul.

Teknik rekayasa sosial sederhana ini biasanya menipu korban untuk mengaktifkan makro, yang disimpan dan dijalankan sebagai file biner. File biner secara otomatis mengunduh Trojan enkripsi, yang mengunci file di perangkat dan mengarahkan pengguna ke situs web yang meminta pembayaran tebusan.

Bart

Bart biasanya digunakan sebagai foto melalui email phishing. Ini memindai file pada perangkat yang mencari ekstensi tertentu (musik, video, foto, dll.) dan menguncinya dalam arsip ZIP yang dilindungi kata sandi.

Setelah korban mencoba untuk membongkar arsip ZIP, mereka disajikan dengan catatan tebusan (dalam bahasa Inggris, Jerman, Prancis, Italia, atau Spanyol, tergantung pada lokasi) dan disuruh menyerahkan pembayaran tebusan di Bitcoin.

Jaff

Saat pertama kali digunakan, ransomware Jaff tidak terdeteksi karena baik pakar keamanan siber maupun pers berfokus pada WannaCry. Namun, bukan berarti tidak berbahaya.

Sama seperti Locky, Jaff hadir sebagai lampiran email—biasanya sebagai dokumen PDF. Setelah korban membuka dokumen, mereka melihat pop-up menanyakan apakah mereka ingin membuka file. Setelah mereka melakukannya, makro dijalankan, dijalankan sebagai file biner, dan mengenkripsi file pada perangkat.

BitPaymer

Evil Corp terkenal menggunakan ransomware BitPaymer untuk menargetkan rumah sakit di Inggris pada tahun 2017. Dikembangkan untuk menargetkan organisasi besar, BitPaymer biasanya dikirimkan melalui serangan brute force dan menuntut pembayaran tebusan yang tinggi.

Terkait:Apa Itu Serangan Brute-Force? Cara Melindungi Diri Sendiri

Iterasi BitPaymer yang lebih baru telah beredar melalui pembaruan Flash dan Chrome palsu. Setelah mendapatkan akses ke jaringan, ransomware ini mengunci file menggunakan beberapa algoritma enkripsi dan meninggalkan catatan tebusan.

loker terbuang

Setelah diberi sanksi oleh Departemen Keuangan, Evil Corp berada di bawah radar. Tapi tidak lama; grup tersebut muncul kembali pada tahun 2020 dengan ransomware baru yang kompleks yang disebut WastedLocker.

WastedLocker biasanya beredar di pembaruan browser palsu, sering ditampilkan di situs web yang sah—seperti situs berita.

Setelah korban mengunduh pembaruan palsu, WastedLocker pindah ke mesin lain di jaringan dan melakukan eskalasi hak istimewa (mendapatkan akses tidak sah dengan mengeksploitasi kerentanan keamanan).

Setelah dieksekusi, WastedLocker mengenkripsi hampir semua file yang dapat diaksesnya dan mengganti namanya menjadi sertakan nama korban bersama dengan "terbuang", dan menuntut pembayaran tebusan antara $ 500.000 dan $ 10 juta.

neraka

Pertama kali ditemukan pada Desember 2020, ransomware Hades Evil Corp tampaknya merupakan versi terbaru dari WastedLocker.

Setelah mendapatkan kredensial yang sah, ia menyusup ke sistem melalui pengaturan Virtual Private Network (VPN) atau Remote Desktop Protocol (RDP), biasanya melalui serangan brute force.

Setelah mendarat di mesin korban, Hades mereplikasi dirinya sendiri dan diluncurkan kembali melalui baris perintah. Eksekusi kemudian diluncurkan, memungkinkan malware memindai sistem dan mengenkripsi file. Malware kemudian meninggalkan catatan tebusan, mengarahkan korban untuk menginstal Tor dan mengunjungi alamat web.

Khususnya, alamat web yang dibuat Hades disesuaikan untuk setiap target. Hades tampaknya secara eksklusif menargetkan organisasi dengan pendapatan tahunan melebihi $1 miliar.

PayloadBIN

Evil Corp tampaknya meniru kelompok peretas Babuk dan menyebarkan ransomware PayloadBIN.

TERKAIT: Apa itu Loker Babu? Geng Ransomware Yang Harus Anda Ketahui

Pertama kali terlihat pada tahun 2021, PayloadBIN mengenkripsi file dan menambahkan ".PAYLOADBIN" sebagai ekstensi baru, dan kemudian mengirimkan catatan tebusan.

Hubungan yang Dicurigai dengan Intelijen Rusia

Perusahaan konsultan keamanan TruesecAnalisis insiden ransomware yang melibatkan Evil Corp mengungkapkan bahwa kelompok tersebut telah menggunakan teknik serupa yang digunakan peretas yang didukung pemerintah Rusia untuk melakukan perusakan. Serangan SolarWinds pada tahun 2020.

Meskipun sangat mampu, Evil Corp agak acuh tak acuh tentang mengekstraksi pembayaran uang tebusan, para peneliti menemukan. Mungkinkah kelompok itu menyebarkan serangan ransomware sebagai taktik pengalih perhatian untuk menyembunyikan tujuan sebenarnya: spionase dunia maya?

Menurut Truesec, bukti menunjukkan bahwa Evil Corp telah "berubah menjadi organisasi spionase tentara bayaran yang dikendalikan oleh Intelijen Rusia tetapi bersembunyi di balik fasad jaringan kejahatan dunia maya, mengaburkan batas antara kejahatan dan spionase."

Yakubets dikatakan memiliki hubungan dekat dengan Federal Security Service (FSB)—agen penerus utama KGB Uni Soviet. Dia dilaporkan menikahi putri perwira tinggi FSB Eduard Bendersky pada musim panas 2017.

Dimana Evil Corp Akan Menyerang Selanjutnya?

Evil Corp telah tumbuh menjadi kelompok canggih yang mampu melakukan serangan tingkat tinggi terhadap institusi-institusi besar. Seperti yang disoroti artikel ini, para anggotanya telah membuktikan bahwa mereka dapat beradaptasi dengan berbagai kesulitan—membuatnya semakin berbahaya.

Meskipun tidak ada yang tahu di mana mereka akan menyerang selanjutnya, keberhasilan grup menyoroti pentingnya melindungi diri Anda sendiri secara online dan tidak mengklik tautan yang mencurigakan.

5 Geng Kejahatan Dunia Maya Terorganisir Paling Terkenal

Kejahatan dunia maya adalah ancaman yang menantang kita semua. Pencegahan membutuhkan pendidikan, jadi inilah saatnya untuk belajar tentang kelompok kejahatan dunia maya terburuk.

Baca Selanjutnya

Tentang Penulis