Le syndicat de la cybercriminalité Evil Corp a été frappé de nouvelles sanctions par les États – Unis, le Royaume-Uni et l’Australie, les États-Unis accusant également l’un de ses membres d’avoir mené des attaques de ransomware BitPaymer.
En 2019, les États-Unis ont sanctionné dix-sept personnes et sept entités liées au gang Evil Corp, dont le chef du groupe, Maksim Yakubets.
Aujourd’hui, l’Office of Foreign Assets Control (OFAC) du Trésor américain a sanctionné sept autres personnes et deux entités associées à l’opération de cybercriminalité.
Dans une action trilatérale, le Royaume-Uni et l’Australie sanctionnent également certains des suspects de la Evil Corp désignés par l’OFAC aujourd’hui ou dans ses sanctions de 2019.
Les personnes sanctionnées sont Eduard Benderskiy (beau-père de Maksim), Viktor Grigorievich Yakubets( père de Maksim), Aleksandr Viktorovich Ryzhenkov, Sergey Viktorovich Ryzhenkov, Aleksey Yevgenevich Shchetinin, Beyat Enverovich Ramazanov et Vadim Gennadievich Pogodin.
Les deux entités sanctionnées sont Vympel-Assistance LLC et Solar-Invest LLC, qui appartiennent à Benderskiy, le beau-père présumé du dirigeant d’Evil Corp, Maksim Yakubets.
« Eduard Benderskiy (Benderskiy), ancien officier de Spetnaz du Service fédéral de sécurité russe( FSB), qui est désigné sous de nombreuses autorités de sanctions de l’OFAC, homme d’affaires russe actuel et beau-père du dirigeant d’Evil Corp, Maksim Viktorovich Yakubets (Maksim), a été un facilitateur clé des relations d’Evil Corp avec l’État russe », allègue l’annonce du Département américain du Trésor.
« Benderskiy était un facilitateur clé de leurs relations avec les services de renseignement russes qui, avant 2019, chargeaient Evil Corp de mener des cyberattaques et des opérations d’espionnage contre les alliés de l’OTAN », allègue une annonce conjointe de la NCA.
Dans le cadre de ces sanctions, les avoirs de l’individu ont été gelés et les entreprises aux États-Unis, au Royaume-Uni et en Australie ne peuvent plus effectuer de transactions avec eux.
Cela signifie également que les organisations qui subissent des attaques de ransomware par Evil Corp ne seront plus en mesure d’effectuer des paiements de rançon sans l’approbation de l’OFAC ou risquent de faire face à des violations des sanctions.
Un membre d’Evil Corp identifié et inculpé
Les États-Unis ont également descellé aujourd’hui un acte d’accusation contre Aleksandr Ryzhenkov, membre présumé d’Evil Corp, pour avoir mené des attaques par ransomware contre plusieurs victimes aux États-Unis.
Ryzhenkov est accusé d’avoir utilisé le ransomware BitPaymer dans de multiples attaques contre des entreprises aux États-Unis. BitPaymer est le premier cryptographe ransomware créé par Evil Corp, qu’ils ont commencé à utiliser dans des attaques en 2017.
« Selon l’acte d’accusation, à partir d’au moins juin 2017, Ryzhenkov aurait obtenu un accès non autorisé aux informations stockées sur les réseaux informatiques des victimes », lit-on dans l’annonce du ministère de la Justice.
« Ryzhenkov et ses conspirateurs auraient ensuite déployé la souche de ransomware connue sous le nom de BitPaymer et l’auraient utilisée pour crypter les fichiers des entreprises victimes, les rendant inaccessibles. Une note électronique laissée sur les systèmes des victimes contenait une demande de rançon et des instructions sur la façon de contacter les attaquants pour entamer des négociations de rançon.
« Ryzhenkov et ses conspirateurs auraient exigé que les victimes paient une rançon pour obtenir une clé de déchiffrement et empêcher que leurs informations sensibles soient rendues publiques en ligne. »
Dans le cadre de l’opération Cronos, la NCA a également identifié Ryzhenkov comme un affilié de LockBit, sous lequel il a attaqué de nombreuses organisations.
« Il a également été identifié comme un affilié de LockBit dans le cadre de l’Opération Cronos – la perturbation internationale en cours du groupe dirigée par la NCA », lit-on dans l’annonce de la NCA.
« Les enquêteurs analysant les données obtenues à partir des propres systèmes du groupe ont découvert qu’il avait été impliqué dans des attaques de ransomware LockBit contre de nombreuses organisations. »
Ryzhenkov fait partie de ceux sanctionnés aujourd’hui par l’OFAC, le Royaume-Uni et l’Australie et vivrait en Russie.
Qui est Evil Corp
Evil Corp est un syndicat de la cybercriminalité connu pour avoir créé et distribué le cheval de Troie bancaire Dridex et diverses familles de ransomwares utilisées dans des attaques dans le monde entier.
Au début, le gang de la cybercriminalité a utilisé le cheval de Troie Dridex pour commettre une fraude financière en volant des informations d’identification bancaires en ligne, puis en les utilisant pour transférer des fonds sur des comptes bancaires sous leur contrôle.
En 2017, alors que des attaques de ransomware ciblant les entreprises commençaient à émerger, le gang a créé le ransomware BitPaymer à utiliser dans des attaques contre des entreprises du monde entier.
En 2019, le Mal Corp split, avec certains membres de la création d’un nouveau ransomware opération connue sous DoppelPaymer, qui a partagé beaucoup de le même code que BitPaymer. DoppelPaymer a continué à attaquer les organisations par le biais de 2022, de repositionnement de la marque à deux reprises par le Chagrin (un.k.un. Payer ou de Chagrin) et de l’Entropie ransomware.
Après les états-unis chargée des membres de la Mal Corp pour un vol de plus de 100 millions de dollars, elle a ajouté de la gang leader, Maksim Yakubets, et d’autres membres de la cybercriminalité la gang pour le Bureau de Contrôle des Avoirs Étrangers (OFAC) liste de sanction.
En raison de ces sanctions, de nombreuses sociétés de négociation de ransomwares ont refusé d’effectuer des paiements avec les opérations d’Evil Corp en raison des risques de violation des sanctions.
Evil Corp a déployé de nouvelles variantes de ransomware sous différents noms pour échapper aux sanctions américaines, telles que WastedLocker, Hadès, Phoenix CryptoLocker, PayLoadBin et Ara.
Cependant, comme tous ces chiffreurs partageaient une base de code commune, ils ont été facilement identifiés comme appartenant à Evil Corp.Cela a conduit certains des affiliés du gang à utiliser le ransomware LockBit dans des attaques pour échapper davantage aux sanctions.