A aplicação da lei internacional tem trabalhado durante anos para perturbar a gangue cibercriminosa Evil Corp e a sua flagrante onda de crimes globais. Mas num campo repleto de prolíficos cibercriminosos russos, a Evil Corp é mais notável pela sua relação singular com a inteligência russa.
Na terça-feira, a Agência Nacional do Crime do Reino Unido divulgou novos detalhes sobre as identidades reais dos supostos membros da Evil Corp, a conexão do grupo com a plataforma LockBit e os laços da gangue com o estado russo. Os pesquisadores têm estabelecido cada vez mais que existem conexões soltas e quid pro quo entre os cibercriminosos russos e o governo do país. Mas os funcionários da NCA enfatizam que a Evil Corp é um exemplo incomum de gangue que tem relações diretas com diversas agências de inteligência russas – incluindo o Serviço Federal de Segurança da Rússia, ou FSB; Serviço de Inteligência Estrangeira, ou SVR; e agência de inteligência militar conhecida como GRU. E a NCA relata que antes de 2019, a Evil Corp foi especificamente “encarregada” pelos serviços de inteligência da Rússia de conduzir operações de espionagem e ataques cibernéticos contra “aliados da OTAN” não identificados.
Por mais de uma década, a Evil Corp usou seu malware Dridex e outras ferramentas de hacking para comprometer milhares de contas bancárias em todo o mundo e roubar fundos. Em 2017, o grupo expandiu-se para ransomware, usando cepas como Hades e PhoenixLocker, e depois usando o Plataforma LockBit como afiliado a partir de 2022. O grupo extorquiu pelo menos US$ 300 milhões das vítimas, além de seus outros despojos, e o Departamento de Estado dos Estados Unidos está oferecendo um Recompensa de US$ 5 milhões por informações que levassem à prisão do suposto líder da gangue, Maksim Yakubets.
“A história da Evil Corp é um excelente exemplo da ameaça em evolução representada por cibercriminosos e operadores de ransomware”, escreveu a NCA na terça-feira num relatório conjunto com o FBI e a Polícia Federal Australiana. “No caso deles, as atividades do Estado russo desempenharam um papel particularmente significativo, por vezes até cooptando este grupo de crimes cibernéticos para a sua própria atividade cibernética maliciosa.”
Ao contrário de muitos grupos russos de crimes cibernéticos que desenvolveram uma estrutura de liderança distribuída online, os funcionários da NCA dizem que a Evil Corp está organizada como um sindicato do crime mais tradicional em torno da família e dos amigos de Yakubets. Seu pai, Viktor Yakubets, supostamente tem experiência em lavagem de dinheiro, e o irmão de Maksim, Artem, junto com os primos Kirill e Dmitry Slobodskoy, estão todos supostamente envolvidos com o grupo. As autoridades também alegam que o grupo operava em locais físicos, incluindo o Chianti Café e o Scenario Café em Moscou.
As autoridades dizem que Maksim Yakubets sempre foi o principal elo de ligação entre a Evil Corp e a inteligência russa. Mas outros membros, incluindo o seu sogro, Eduard Benderskiy, também supostamente contribuem para o relacionamento. Bendersky é supostamente um ex-funcionário do FSB que trabalhou na misteriosa unidade ‘Vympel’ e, segundo Bellingcat, pode ter estado envolvido em uma série de assassinatos no exterior. Funcionários da NCA dizem que após as sanções e acusações dos EUA em 2019 contra membros da Evil Corp, Benderskiy trabalhou para proteger os membros seniores da gangue na Rússia.
Apesar do seu domínio de longa data, a Evil Corp teve de continuar a evoluir para continuar a ganhar dinheiro. Embora negue um relacionamento, o grupo parecia ter usado a notória plataforma de ransomware como serviço LockBit para conduzir ataques desde 2022. E o suposto segundo em comando de Yakubets, a quem funcionários da NCA nomearam na terça-feira como Aleksandr Ryzhenkov, aparentemente estava supervisionando isso trabalhar. Depois que a aplicação da lei internacional lançou um grande interrupção do LockBit em fevereiroa quadrilha tem operado com capacidade reduzida, segundo a NCA.
“Nascido de uma fusão de cibercriminosos de elite, o sofisticado modelo de negócios da Evil Corp tornou-os um dos adversários do crime cibernético mais difundidos e persistentes até hoje”, escreveu a NCA. “Depois de ter sido prejudicado pelas sanções e acusações de dezembro de 2019, o grupo foi forçado a diversificar as suas táticas enquanto tentava continuar a causar danos enquanto se adaptava ao ecossistema do crime cibernético em mudança.”