Οι διεθνείς αρχές επιβολής του νόμου εργάστηκαν για χρόνια για να διαταράξουν την κυβερνοεγκληματική συμμορία Evil Corp και το απίστευτο παγκόσμιο έγκλημα. Αλλά σε ένα πολυσύχναστο πεδίο με παραγωγικούς Ρώσους εγκληματίες στον κυβερνοχώρο, η Evil Corp είναι πιο αξιοσημείωτη για τη μοναδική σχέση της με τη ρωσική υπηρεσία πληροφοριών.

Την Τρίτη, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου δημοσίευσε νέες λεπτομέρειες σχετικά με τις πραγματικές ταυτότητες των φερόμενων μελών του Evil Corp, τη σύνδεση της ομάδας με την πλατφόρμα LockBit και τους δεσμούς της συμμορίας με το ρωσικό κράτος. Οι ερευνητές αποδεικνύουν ολοένα και περισσότερο ότι υπάρχουν χαλαρές, ανεπαρκείς διασυνδέσεις μεταξύ Ρώσων εγκληματιών στον κυβερνοχώρο και της κυβέρνησης της χώρας. Ωστόσο, αξιωματούχοι της NCA τονίζουν ότι η Evil Corp είναι ένα ασυνήθιστο παράδειγμα συμμορίας που έχει άμεσες σχέσεις με πολλές ρωσικές υπηρεσίες πληροφοριών—συμπεριλαμβανομένης της Ομοσπονδιακής Υπηρεσίας Ασφαλείας της Ρωσίας ή FSB. Υπηρεσία Εξωτερικών Πληροφοριών ή SVR. και στρατιωτική υπηρεσία πληροφοριών γνωστή ως GRU. Και η NCA αναφέρει ότι πριν από το 2019, η Evil Corp είχε «αποστολή» ειδικά από τις υπηρεσίες πληροφοριών της Ρωσίας να διεξάγει επιχειρήσεις κατασκοπείας και κυβερνοεπιθέσεις εναντίον αγνώστων «συμμάχων του ΝΑΤΟ».

Για περισσότερο από μια δεκαετία, η Evil Corp έχει χρησιμοποιήσει το κακόβουλο λογισμικό Dridex και άλλα εργαλεία hacking για να θέσει σε κίνδυνο χιλιάδες τραπεζικούς λογαριασμούς σε όλο τον κόσμο και να κλέψει κεφάλαια. Το 2017, η ομάδα επεκτάθηκε σε ransomware, χρησιμοποιώντας στελέχη όπως το Hades και το PhoenixLocker και στη συνέχεια χρησιμοποιώντας την πλατφόρμα LockBit ως θυγατρική αρχής γενομένης το 2022. Η ομάδα έχει εκβιάσει τουλάχιστον 300 εκατομμύρια δολάρια από θύματα πάνω από τα άλλα λάφυρά της, και τις Ηνωμένες Πολιτείες Το Υπουργείο Εξωτερικών προσφέρει αμοιβή 5 εκατομμυρίων δολαρίων για πληροφορίες που θα οδηγήσουν στη σύλληψη του φερόμενου αρχηγού της συμμορίας, Μαξίμ Γιακουμπέτς.

«Η ιστορία της Evil Corp είναι ένα χαρακτηριστικό παράδειγμα της εξελισσόμενης απειλής που παρουσιάζουν οι κυβερνοεγκληματίες και οι χειριστές ransomware», έγραψε η NCA την Τρίτη σε κοινή έκθεση με το FBI και την Αυστραλιανή Ομοσπονδιακή Αστυνομία. «Στην περίπτωσή τους, οι δραστηριότητες του ρωσικού κράτους έπαιξαν έναν ιδιαίτερα σημαντικό ρόλο, μερικές φορές ακόμη και επιλέγοντας αυτήν την ομάδα εγκλήματος στον κυβερνοχώρο για τη δική της κακόβουλη διαδικτυακή δραστηριότητα».

Σε αντίθεση με πολλές ρωσικές ομάδες εγκλήματος στον κυβερνοχώρο που έχουν αναπτύξει μια κατανεμημένη ηγετική δομή στο διαδίκτυο, οι αξιωματούχοι της NCA λένε ότι η Evil Corp είναι οργανωμένη σαν ένα πιο παραδοσιακό συνδικάτο εγκλήματος γύρω από την οικογένεια και τους φίλους του Yakubets. Ο πατέρας του, Βίκτορ Γιακούμπετς, φέρεται να έχει υπόβαθρο στο ξέπλυμα βρώμικου χρήματος και ο αδερφός του Μαξίμ, Άρτεμ, μαζί με τους ξαδέρφους του Κίριλ και Ντμίτρι Σλόμποντσκι, φέρεται να εμπλέκονται στην ομάδα. Οι αξιωματούχοι ισχυρίζονται επίσης ότι η ομάδα δραστηριοποιείται εκτός φυσικών τοποθεσιών, συμπεριλαμβανομένων των Chianti Café και Scenario Café στη Μόσχα.

Οι αξιωματούχοι λένε ότι ο Maksim Yakubets ήταν πάντα ο κύριος σύνδεσμος μεταξύ της Evil Corp και της ρωσικής υπηρεσίας πληροφοριών. Αλλά και άλλα μέλη, συμπεριλαμβανομένου του πεθερού του, Eduard Benderskiy, φέρεται να συμβάλλουν επίσης στις σχέσεις. Ο Benderskiy φέρεται να είναι πρώην αξιωματούχος της FSB που εργαζόταν στη μυστηριώδη μονάδα «Vympel» και, σύμφωνα με την Bellingcat, μπορεί να είχε εμπλακεί σε μια σειρά από δολοφονίες στο εξωτερικό. Αξιωματούχοι της NCA λένε ότι μετά τις κυρώσεις και τις κατηγορίες των ΗΠΑ το 2019 κατά των μελών του Evil Corp, ο Benderskiy εργάστηκε για να προστατεύσει τα ανώτερα μέλη της συμμορίας στη Ρωσία.

Παρά τη μακροχρόνια κυριαρχία της, η Evil Corp έπρεπε να συνεχίσει να εξελίσσεται για να συνεχίσει να κερδίζει χρήματα. Αν και αρνείται μια σχέση, η ομάδα φαινόταν ότι είχε χρησιμοποιήσει την περιβόητη πλατφόρμα ransomware-as-a-service LockBit για να διεξάγει επιθέσεις από το 2022. Και ο φερόμενος δεύτερος στην εξουσία του Yakubets, τον οποίο οι αξιωματούχοι της NCA κατονόμασαν την Τρίτη ως Aleksandr Ryzhenkov, προφανώς επέβλεπε αυτό το έργο. Αφού οι διεθνείς αρχές επιβολής του νόμου ξεκίνησαν μια μεγάλη διακοπή του LockBit τον Φεβρουάριο, η συμμορία λειτουργεί με μειωμένη δυναμικότητα, σύμφωνα με την NCA.

«Γεννημένοι από μια συνένωση ελίτ εγκληματιών στον κυβερνοχώρο, το εξελιγμένο επιχειρηματικό μοντέλο της Evil Corp τους έκανε έναν από τους πιο διάχυτους και επίμονους αντιπάλους του εγκλήματος στον κυβερνοχώρο μέχρι σήμερα», έγραψε η NCA. «Αφού παρεμποδίστηκε από τις κυρώσεις και τις κατηγορίες του Δεκεμβρίου 2019, η ομάδα αναγκάστηκε να διαφοροποιήσει τις τακτικές της καθώς προσπαθούν να συνεχίσουν να προκαλούν ζημιά, ενώ προσαρμόζονται στο μεταβαλλόμενο οικοσύστημα του εγκλήματος στον κυβερνοχώρο».