El sindicato de delitos cibernéticos Evil Corp ha recibido nuevas sanciones por parte de EE. UU., Reino Unido y Australia, y EE. UU. también acusó a uno de sus miembros por llevar a cabo ataques de ransomware BitPaymer.
En 2019, Estados Unidos sancionó a diecisiete personas y siete entidades vinculadas a la banda Evil Corp, incluido el líder del grupo, Maksim Yakubets.
Hoy, la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de los Estados Unidos sancionó a siete personas adicionales y dos entidades asociadas con la operación de delito cibernético.
Como parte de la acción trilateral, el Reino Unido y Australia también están sancionar a algunos de los sospechosos de Evil Corp designado por la OFAC hoy o en sus sanciones de 2019.
Los sancionados son Eduard Benderskiy (suegro de Maksim), Viktor Grigoryevich Yakubets (padre de Maksim), Aleksandr Viktorovich Ryzhenkov, Sergey Viktorovich Ryzhenkov, Aleksey Yevgenevich Shchetinin, Beyat Enverovich Ramazanov y Vadim Gennadievich Pogodin.
Las dos entidades sancionadas son Vympel-Assistance LLC y Solar-Invest LLC, propiedad de Benderskiy, el presunto suegro del líder de Evil Corp, Maksim Yakubets.
“Eduard Benderskiy (Benderskiy), ex oficial Spetnaz del Servicio Federal de Seguridad de Rusia (FSB), designado bajo numerosas sanciones de la OFAC, actual empresario ruso y suegro del líder de Evil Corp, Maksim Viktorovich Yakubets (Maksim), jugó un papel clave en las relaciones de Evil Corp con el Estado ruso”, dice el comunicado. Anuncio del Departamento del Tesoro de EE.UU..
“Benderskiy jugó un papel clave en su relación con los servicios de inteligencia rusos que, antes de 2019, encargaron a Evil Corp la realización de ciberataques y operaciones de espionaje contra aliados de la OTAN”, afirma. un anuncio conjunto de la NCA.
Como parte de estas sanciones, se han congelado los activos de las personas y las empresas en los Estados Unidos, el Reino Unido y Australia ya no pueden realizar transacciones con ellos.
Esto también significa que las organizaciones víctimas de ataques de ransomware de Evil Corp ya no podrán realizar pagos de rescate sin la aprobación de la OFAC o de la OFAC. riesgo de enfrentar violaciones de sanciones.
Miembro de Evil Corp identificado y acusado
Estados Unidos también hoy se abrió una acusación contra Aleksandr Ryzhenkov, presunto miembro de Evil Corp, por llevar a cabo ataques de ransomware contra múltiples víctimas en Estados Unidos.
Ryzhenkov está acusado de utilizar el ransomware BitPaymer en varios ataques contra empresas en Estados Unidos. BitPaymer es el primer cifrador de ransomware creado por Evil Corp, que comenzaron a utilizar en ataques en 2017.
“Según la acusación, ya en junio de 2017, Ryjekov supuestamente obtuvo acceso no autorizado a la información almacenada en las redes informáticas de las víctimas”, se lee en el comunicado. Anuncio del Ministerio de Justicia.
“Ryzhenkov y sus conspiradores supuestamente implementaron una variedad de ransomware conocida como BitPaymer y la usaron para cifrar los archivos de las empresas víctimas, haciéndolos inaccesibles. Una nota electrónica dejada en los sistemas de las víctimas contenía una demanda de rescate e instrucciones sobre cómo contactar a la los atacantes iniciaran negociaciones para obtener un rescate.
“Ryjekov y sus conspiradores supuestamente exigieron que las víctimas pagaran un rescate para obtener una clave de descifrado y evitar que su información confidencial se hiciera pública en línea”.
Como parte de la Operación Cronos, la NCA también identificó a Ryzhenkov como afiliado de LockBit, durante la cual atacó a numerosas organizaciones.
“También ha sido identificado como afiliado de LockBit como parte de la Operación Cronos: la disrupción internacional en curso del grupo liderado por la NCA”, se lee en el comunicado. Anuncio del Congreso Nacional Africano.
“Los investigadores que analizaron los datos obtenidos de los propios sistemas del grupo descubrieron que estaba involucrado en ataques de ransomware LockBit contra numerosas organizaciones”.
Ryzhenkov se encuentra entre los sancionados hoy por la OFAC, el Reino Unido y Australia y se cree que vive en Rusia.
¿Quién es Evil Corp?
Evil Corp es un sindicato de delitos cibernéticos conocido por crear y distribuir el troyano bancario Dridex y varias familias de ransomware utilizadas en ataques en todo el mundo.
En sus inicios, la banda de ciberdelincuentes utilizó el troyano Dridex para cometer fraude financiero robando credenciales bancarias en línea y luego usándolas para transferir fondos a cuentas bancarias bajo su control.
En 2017, cuando comenzaron a surgir ataques de ransomware dirigidos a empresas, la pandilla creó el ransomware BitPaymer para utilizarlo en ataques contra empresas de todo el mundo.
En 2019, Evil Corp se disolvió y algunos miembros crearon una nueva operación de ransomware conocida como DoppelPaymer, que compartía gran parte del mismo código que BitPaymer. DoppelPaymer continuó atacando organizaciones hasta 2022, rebautizado dos veces como Grief (también conocido como Pay o Grief) y Entropy ransomware.
Después de que Estados Unidos acusara a los miembros de Evil Corp de robar más de 100 millones de dólares, añadió al líder de la banda, Maksim Yakubets, y a otros miembros de la banda de cibercrimen a la lista de sanciones de la Oficina de Control de Activos Extranjeros (OFAC).
Debido a estas sanciones, muchas empresas comercializadoras de ransomware se han negado a realizar pagos con las operaciones de Evil Corp debido al riesgo de violaciones de las sanciones.
Evil Corp ha implementado nuevas variantes de ransomware con diferentes nombres para evadir las sanciones estadounidenses, como WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin y Macaw.
Sin embargo, debido a que todos estos cifrados compartían una base de código común, se identificaron fácilmente como pertenecientes a Evil Corp. Esto llevó a algunos de los afiliados de la pandilla a utilizar el ransomware LockBit en ataques destinados a evadir aún más las sanciones.