Britse NCA ontmaskert Russische cybercriminelen
Zestien personen die deel uitmaakten van Evil Corp, ooit beschouwd als de grootste cybercrime-dreiging ter wereld, zijn in het Verenigd Koninkrijk gesanctioneerd. Hun banden met de Russische staat en andere actieve ransomware-groepen, waaronder LockBit, zijn onthuld. Ook Australië en de VS hebben sancties opgelegd. Zij hebben een aanklacht ingediend tegen een belangrijk lid van de groep.
Een uitgebreid onderzoek door de NCA (National Crime Agency) heeft geholpen de geschiedenis en reikwijdte van de criminaliteit van Evil Corp in kaart te brengen; van een op families gerichte financiële misdaadgroep in Moskou die zich vervolgens heeft uitgebreid naar cybercriminaliteit en uiteindelijk minstens 300 miljoen dollar heeft afgeperst van slachtoffers over de hele wereld, waaronder mensen uit de gezondheidszorg, kritieke nationale infrastructuur en de overheid, naast andere sectoren.
In 2019 leidde dit onderzoek ertoe dat het hoofd van Evil Corp, Maksim Yakubets, en een van de bestuurders van de groep, Igor Turashev, in de VS werden aangeklaagd en gesanctioneerd, samen met verschillende andere leden van de groep.
Inmiddels zijn Yakubets, Turashev en zeven van degenen die in 2019 door de VS op de sanctielijst zijn geplaatst, ook in het Verenigd Koninkrijk door het Britse ministerie van Buitenlandse Zaken, Gemenebest en Ontwikkeling aangewezen, samen met nog eens zeven personen, van wie de banden en steun voor de groep nog niet eerder zijn onthuld.
LockBit
Dit omvat Aleksandr Ryzhenkov, de rechterhand van Yakubets, in wie hij veel vertrouwen stelde en met wie hij nauw samenwerkte om enkele van de meest productieve ransomware-stammen van de groep te ontwikkelen. Hij is ook geïdentificeerd als een LockBit-partner als onderdeel van Operation Cronos - de voortdurende door de NCA geleide internationale verstoring van de groep. Onderzoekers die gegevens analyseerden die waren verkregen uit de eigen systemen van de groep, ontdekten dat hij betrokken was bij LockBit-ransomware-aanvallen op talloze organisaties.
Daarnaast heeft het Amerikaanse ministerie van Justitie een aanklacht ingediend waarin Ryzhenkov wordt beschuldigd van het gebruik van BitPaymer-ransomware om slachtoffers in de VS te targeten.
Ook Yakubets' vader, Viktor Yakubets, zijn schoonvader, Eduard Benderskiy, een voormalige hoge FSB-functionaris, en anderen die een belangrijke rol speelden bij de criminele activiteiten van Evil Corp. zijn in het Verenigd Koninkrijk gesanctioneerd.
Tactieken
James Babbage, directeur-generaal voor bedreigingen bij de NCA, zei: "De vandaag aangekondigde actie vond plaats in samenhang met uitgebreide en complexe onderzoeken door de NCA naar twee van de meest schadelijke cybercriminele groepen aller tijden. Deze sancties stellen meer leden van Evil Corp bloot, waaronder iemand die gelieerd was aan LockBit en degenen die een cruciale rol speelden bij het mogelijk maken van hun activiteiten. Sinds we de Amerikaanse actie tegen Evil Corp in 2019 hebben gesteund, hebben leden hun tactieken aangepast en is de schade die aan de groep wordt toegeschreven aanzienlijk verminderd. We verwachten dat deze nieuwe aanduidingen ook hun voortdurende criminele activiteiten zullen verstoren. Ransomware is de grootste cybercriminaliteitsdreiging voor het Verenigd Koninkrijk en de wereld. De NCA is toegewijd aan het samenwerken met onze partners in het Verenigd Koninkrijk en daarbuiten, het delen van informatie en het werken aan het verstoren van de meest geavanceerde en schadelijke ransomware-groepen, ongeacht waar ze zich bevinden of hoe lang het duurt."
Evil Corp werd officieel opgericht als criminele organisatie in 2014. Ze waren verantwoordelijk voor de ontwikkeling en distributie van BitPaymer en Dridex, die ze gebruikten om banken en financiële instellingen in meer dan 40 landen aan te vallen en meer dan $ 100 miljoen te stelen.
De groep had een bevoorrechte positie, waarbij sommige leden nauwe banden hadden met de Russische staat. Benderskiy was een belangrijke facilitator van hun relatie met de Russische inlichtingendienst die, vóór 2019, Evil Corp opdracht gaf om cyberaanvallen en spionageoperaties uit te voeren tegen NAVO-bondgenoten.
Rusland
Na de Amerikaanse sancties en aanklachten in december 2019 gebruikte Benderskiy zijn grote invloed binnen de Russische staat om de groep te beschermen. Hij deed dit door belangrijke leden te beschermen en door ervoor te zorgen dat ze niet werden vervolgd door de Russische binnenlandse autoriteiten.
De activiteiten in 2019 zorgden echter voor aanzienlijke verstoring bij Evil Corp., waardoor hun merk en hun operationele activiteiten werden geschaad. Bovendien werd het voor hen moeilijker om losgeld te eisen van slachtoffers.
Hierdoor moesten ze de groep heropbouwen, hun tactieken veranderen en strengere maatregelen nemen om hun activiteiten voor de politie verborgen te houden. Veel leden gingen ondergronds, lieten hun online accounts achter en beperkten hun bewegingsvrijheid.
Bendes
Ze bleven zich aanpassen en sommige leden gingen door met het ontwikkelen van verdere malware- en ransomware-stammen, met name WastedLocker, Hades, PhoenixLocker, PayloadBIN en Macaw. Hun focus werd smaller en schakelde van volume-aanvallen over op het targeten van organisaties met hoge inkomsten.
Andere leden stapten af van hun eigen technische hulpmiddelen en gebruikten in plaats daarvan ransomware-varianten die door andere criminele bendes waren ontwikkeld, zoals LockBit.
De NCA blijft illegale activiteiten van verschillende voormalige leden van Evil Corp. in de gaten houden, waaronder hun betrokkenheid bij ransomware-aanvallen.
Misuse Act
Het internationale onderzoek naar LockBit is ook nog gaande en deze week ging hun oorspronkelijke leksite, die nog steeds onder controle staat van de NCA, weer live. Het beschrijft verdere maatregelen die de Cronos Taskforce heeft genomen, waaronder NCA-arrestaties in augustus van twee personen waarvan wordt aangenomen dat ze banden hebben met een LockBit-filiaal, op verdenking van Computer Misuse Act en witwasdelicten.
In dezelfde maand zorgden de Franse autoriteiten voor de arrestatie van een verdachte LockBit-ontwikkelaar en arresteerde de Spaanse politie een van de belangrijkste facilitators van LockBit-infrastructuur. Ook werden negen servers van de groep in beslag genomen.
Minister van Buitenlandse Zaken David Lammy zei: "Ik zie het als mijn persoonlijke missie om het Kremlin aan te pakken met het volledige arsenaal aan sancties dat ons ter beschikking staat. "Poetin heeft een corrupte maffiastaat opgebouwd met zichzelf in het middelpunt. We moeten dit op alle mogelijke manieren bestrijden, en de actie van vandaag is nog maar het begin. "De sancties van vandaag zijn een duidelijk signaal aan het Kremlin dat wij geen Russische cyberaanvallen zullen tolereren, of deze nu afkomstig zijn van de staat zelf of van het cybercriminele ecosysteem.
Schade
Minister van Veiligheid Dan Jarvis zei:"Cybercriminaliteit veroorzaakt enorme schade aan mensen en bedrijven over de hele wereld, maar de actie van vandaag bewijst dat de gevolgen voor de betrokkenen ernstig zijn. We blijven samenwerken met onze internationale partners om kwaadaardige cyberactiviteiten te onderzoeken en bloot te leggen en het publiek te beschermen."
Jonathon Ellison, NCSC-directeur voor nationale veerkracht en toekomstige technologie, zei: "We zien dagelijks dat ransomware-incidenten echte gevolgen hebben voor slachtoffers in het Verenigd Koninkrijk. Ze verstoren belangrijke diensten, schaden de financiën van bedrijven en brengen de gegevens van individuen in gevaar. "Ik ben blij met de sancties van vandaag tegen cybercriminelen die banden hebben met Evil Corp en die schade hebben veroorzaakt in het Verenigd Koninkrijk en daarbuiten. Ik steun de gecoördineerde stappen die met bondgenoten worden genomen om ervoor te zorgen dat cybercriminaliteit niet loont. Alle organisaties worden aangemoedigd de ransomware-richtlijnen van het NCSC te volgen om de kans te verkleinen dat ze slachtoffer worden van een aanval en om ervoor te zorgen dat ze beproefde responsplannen hebben voor het geval dat het ergste gebeurt."
CrowdStrike
CrowdStrike leverde belangrijke dreigingsinformatie aan de autoriteiten ter ondersteuning van deze acties. Graag deel ik de gedetailleerde (Engelstalige) blog met je over de aanklacht en een analyse van deze dreigingsactoren. Hierin wordt beschreven hoe deze internationale cybercriminele netwerken samenwerken en grenzen vervagen