ईविल कॉर्प: दुनिया के सबसे कुख्यात हैकर समूहों में से एक में एक गहरा गोता

2019 में, संयुक्त राज्य अमेरिका के न्याय विभाग ने रूसी नागरिक मक्सिम याकुबेट्स के खिलाफ आरोप दायर किया, उनकी गिरफ्तारी के लिए सूचना देने के लिए $ 5 मिलियन का इनाम दिया।

कोई भी ऐसी जानकारी के साथ आगे नहीं आया है जो अमेरिकी अधिकारियों को अब तक मायावी और रहस्यमय याकूब को पकड़ने की अनुमति दे। वह अभी भी बड़े पैमाने पर है, ईविल कॉर्प के नेता के रूप में – अब तक के सबसे कुख्यात और सफल हैकर समूहों में से एक।

2009 से सक्रिय, ईविल कॉर्प-जिसे ड्रिडेक्स गिरोह या इंद्रिक स्पाइडर के नाम से भी जाना जाता है-ने दुनिया भर में कॉर्पोरेट संस्थाओं, बैंकों और वित्तीय संस्थानों पर निरंतर हमला किया है, इस प्रक्रिया में सैकड़ों मिलियन डॉलर की चोरी की है।

आइए एक नजर डालते हैं कि यह समूह कितना खतरनाक है।

ईविल कॉर्प का विकास

ईविल कॉर्प के तरीकों में पिछले कुछ वर्षों में काफी बदलाव आया है, क्योंकि यह धीरे-धीरे एक विशिष्ट, आर्थिक रूप से प्रेरित ब्लैक हैट हैकर समूह से एक असाधारण परिष्कृत साइबर अपराध संगठन में विकसित हुआ है।

जब न्याय विभाग ने 2019 में याकूब पर आरोप लगाया, तो अमेरिकी ट्रेजरी विभाग के विदेशी संपत्ति नियंत्रण कार्यालय (ओएफएसी) ने ईविल कॉर्प के खिलाफ प्रतिबंध जारी किए। चूंकि प्रतिबंध किसी भी कंपनी पर भी लागू होते हैं जो ईविल कॉर्प को फिरौती का भुगतान करती है या भुगतान की सुविधा देती है, समूह को अनुकूलित करना पड़ा है।

ईविल कॉर्प ने संगठनों को लक्षित करने के लिए मैलवेयर के विशाल शस्त्रागार का उपयोग किया है। निम्नलिखित खंड सबसे कुख्यात लोगों को देखेंगे।

ड्रिडेक्स

बुगेट और क्रिडेक्स के रूप में भी जाना जाता है, ड्रिडेक्स को पहली बार 2011 में खोजा गया था। एक क्लासिक बैंकिंग ट्रोजन जो कुख्यात ज़ीउस के साथ कई समानताएं साझा करता है, ड्रिडेक्स को बैंकिंग जानकारी चोरी करने के लिए डिज़ाइन किया गया है और आमतौर पर ईमेल के माध्यम से तैनात किया जाता है।

ड्रिडेक्स का उपयोग करते हुए, ईविल कॉर्प ने 40 से अधिक देशों में वित्तीय संस्थानों से $ 100 मिलियन से अधिक की चोरी करने में कामयाबी हासिल की है। मैलवेयर लगातार नई सुविधाओं के साथ अपडेट किया जाता है और विश्व स्तर पर एक सक्रिय खतरा बना हुआ है।

लॉकी

लॉकी फ़िशिंग ईमेल में दुर्भावनापूर्ण अनुलग्नकों के माध्यम से नेटवर्क को संक्रमित करता है। अनुलग्नक, एक Microsoft Word दस्तावेज़ में मैक्रो वायरस होते हैं । जब पीड़ित दस्तावेज़ खोलता है, जो पढ़ने योग्य नहीं है, तो वाक्यांश के साथ एक संवाद बॉक्स प्रकट होता है: "यदि डेटा एन्कोडिंग गलत है तो मैक्रो सक्षम करें"।

यह साधारण सोशल इंजीनियरिंग तकनीक आमतौर पर पीड़ित को मैक्रोज़ को सक्षम करने के लिए चकमा देती है, जो एक बाइनरी फ़ाइल के रूप में सहेजते और चलते हैं। बाइनरी फ़ाइल स्वचालित रूप से एन्क्रिप्शन ट्रोजन डाउनलोड करती है, जो डिवाइस पर फ़ाइलों को लॉक करती है और उपयोगकर्ता को फिरौती भुगतान की मांग करने वाली वेबसाइट पर निर्देशित करती है।

बार्ट

बार्ट को आमतौर पर फ़िशिंग ईमेल के माध्यम से एक तस्वीर के रूप में तैनात किया जाता है। यह कुछ एक्सटेंशन (संगीत, वीडियो, फोटो, आदि) की तलाश में डिवाइस पर फ़ाइलों को स्कैन करता है और उन्हें पासवर्ड से सुरक्षित ज़िप अभिलेखागार में लॉक कर देता है।

एक बार जब पीड़ित ज़िप संग्रह को अनपैक करने का प्रयास करता है, तो उन्हें एक फिरौती नोट (अंग्रेजी, जर्मन, फ्रेंच, इतालवी, या स्पेनिश में, स्थान के आधार पर) के साथ प्रस्तुत किया जाता है और बिटकॉइन में फिरौती का भुगतान जमा करने के लिए कहा जाता है।

जाफ्फ

जब पहली बार तैनात किया गया, तो जैफ रैंसमवेयर रडार के नीचे उड़ गया क्योंकि साइबर सुरक्षा विशेषज्ञ और प्रेस दोनों ने WannaCry पर ध्यान केंद्रित किया। हालांकि, इसका मतलब यह नहीं है कि यह खतरनाक नहीं है।

लॉकी की तरह, जाफ एक ईमेल अटैचमेंट के रूप में आता है – आमतौर पर एक पीडीएफ दस्तावेज़ के रूप में। एक बार जब पीड़ित दस्तावेज़ खोलता है, तो उन्हें एक पॉप-अप दिखाई देता है जिसमें पूछा जाता है कि क्या वे फ़ाइल खोलना चाहते हैं। एक बार ऐसा करने के बाद, मैक्रोज़ निष्पादित होते हैं, बाइनरी फ़ाइल के रूप में चलते हैं, और डिवाइस पर फ़ाइलों को एन्क्रिप्ट करते हैं।

बिटपेमर

ईविल कॉर्प ने 2017 में यूके में अस्पतालों को लक्षित करने के लिए बिटपायमर रैंसमवेयर का कुख्यात उपयोग किया। प्रमुख संगठनों को लक्षित करने के लिए विकसित, बिटपायमर को आमतौर पर क्रूर-बल हमलों के माध्यम से वितरित किया जाता है और उच्च छुड़ौती भुगतान की मांग करता है।

सम्बंधित: जानवर-बल के हमले क्या हैं? अपनी सुरक्षा कैसे करें

बिटपायमर के हाल के पुनरावृत्तियों ने नकली फ्लैश और क्रोम अपडेट के माध्यम से प्रसारित किया है। एक बार जब यह एक नेटवर्क तक पहुंच प्राप्त कर लेता है, तो यह रैंसमवेयर कई एन्क्रिप्शन एल्गोरिदम का उपयोग करके फाइलों को लॉक कर देता है और एक फिरौती नोट छोड़ देता है।

वेस्टेड लॉकर

ट्रेजरी विभाग द्वारा स्वीकृत होने के बाद, ईविल कॉर्प रडार के नीचे चला गया। लेकिन बहुत लम्बे समय के लिए नहीं; समूह 2020 में नए, जटिल रैंसमवेयर के साथ फिर से शुरू हुआ, जिसे वेस्टेडलॉकर कहा जाता है।

WastedLocker आमतौर पर नकली ब्राउज़र अपडेट में प्रसारित होता है, जो अक्सर वैध वेबसाइटों पर प्रदर्शित होता है—जैसे कि समाचार साइटें।

एक बार जब पीड़ित नकली अपडेट डाउनलोड कर लेता है, तो WastedLocker नेटवर्क पर अन्य मशीनों में चला जाता है और विशेषाधिकार वृद्धि करता है (सुरक्षा कमजोरियों का फायदा उठाकर अनधिकृत पहुंच प्राप्त करता है)।

निष्पादन के बाद, WastedLocker वस्तुतः उन सभी फाइलों को एन्क्रिप्ट करता है जो इसे एक्सेस कर सकती हैं और पीड़ित के नाम को "व्यर्थ" के साथ शामिल करने के लिए उनका नाम बदल देती हैं और $ 500,000 और $ 10 मिलियन के बीच फिरौती के भुगतान की मांग करती हैं।

हैडिस

पहली बार दिसंबर 2020 में खोजा गया, एविल कॉर्प का हेड्स रैंसमवेयर वेस्टलॉकर का अपडेटेड वर्जन प्रतीत होता है।

वैध प्रमाण-पत्र प्राप्त करने के बाद, यह वर्चुअल प्राइवेट नेटवर्क (वीपीएन) या रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) सेटअप के माध्यम से सिस्टम में घुसपैठ करता है, आमतौर पर ब्रूट-फोर्स हमलों के माध्यम से।

पीड़ित की मशीन पर उतरने पर, हेड्स खुद को दोहराता है और कमांड लाइन के माध्यम से पुन: लॉन्च होता है। एक निष्पादन योग्य तब लॉन्च होता है, जिससे मैलवेयर सिस्टम को स्कैन कर सकता है और फाइलों को एन्क्रिप्ट कर सकता है। मैलवेयर तब एक फिरौती नोट छोड़ता है, जो पीड़ित को टोर स्थापित करने और एक वेब पते पर जाने का निर्देश देता है।

विशेष रूप से, वेब पते पाताल लोक के पत्ते प्रत्येक लक्ष्य के लिए अनुकूलित किए जाते हैं। ऐसा प्रतीत होता है कि पाताल लोक के पास विशेष रूप से लक्षित संगठन हैं जिनकी वार्षिक आय $1 बिलियन से अधिक है।

पेलोडबिन

ईविल कॉर्प बाबुक हैकर समूह का रूप धारण कर रहा है और पेलोडबिन रैंसमवेयर को तैनात कर रहा है।

सम्बंधित: बाबुक लॉकर क्या है? रैंसमवेयर गिरोह के बारे में आपको पता होना चाहिए

पहली बार 2021 में देखा गया, PayloadBIN फाइलों को एन्क्रिप्ट करता है और ".PAYLOADBIN" को एक नए एक्सटेंशन के रूप में जोड़ता है, और फिर एक फिरौती नोट देता है।

रूसी खुफिया से संदिग्ध संबंध

सुरक्षा परामर्श कंपनी ट्रूसेक के रैंसमवेयर घटनाओं के विश्लेषण से पता चला है कि समूह ने 2020 में विनाशकारी सोलरविंड्स हमले को अंजाम देने के लिए रूसी सरकार समर्थित हैकर्स के समान तकनीकों का इस्तेमाल किया है।

हालांकि बेहद सक्षम, ईविल कॉर्प फिरौती के भुगतान के बारे में अचूक रहा है, शोधकर्ताओं ने पाया। क्या ऐसा हो सकता है कि समूह रैंसमवेयर हमलों को अपने वास्तविक लक्ष्य: साइबर जासूसी को छुपाने के लिए एक व्याकुलता रणनीति के रूप में तैनात करता है?

ट्रूसेक के अनुसार, सबूत बताते हैं कि ईविल कॉर्प "रूसी खुफिया द्वारा नियंत्रित एक भाड़े के जासूसी संगठन में बदल गया है, लेकिन साइबर अपराध की अंगूठी के मुखौटे के पीछे छिपा हुआ है, अपराध और जासूसी के बीच की रेखाओं को धुंधला कर रहा है।"

कहा जाता है कि याकूबेट्स के संघीय सुरक्षा सेवा (एफएसबी) के साथ घनिष्ठ संबंध हैं – सोवियत संघ के केजीबी की मुख्य उत्तराधिकारी एजेंसी। उन्होंने कथित तौर पर 2017 की गर्मियों में उच्च पदस्थ एफएसबी अधिकारी एडुआर्ड बेंडर्स्की की बेटी से शादी की।

ईविल कॉर्प आगे कहां हमला करेगा?

ईविल कॉर्प एक परिष्कृत समूह के रूप में विकसित हो गया है जो प्रमुख संस्थानों पर हाई-प्रोफाइल हमले करने में सक्षम है। जैसा कि इस लेख पर प्रकाश डाला गया है, इसके सदस्यों ने साबित कर दिया है कि वे विभिन्न प्रतिकूलताओं के अनुकूल हो सकते हैं-उन्हें और भी खतरनाक बना सकते हैं।

हालांकि कोई नहीं जानता कि वे आगे कहां हमला करेंगे, समूह की सफलता ऑनलाइन खुद को सुरक्षित रखने और संदिग्ध लिंक पर क्लिक न करने के महत्व पर प्रकाश डालती है।