Evil Corp: El Rostro de la Ciberdelincuencia en la Dark Web

Evil Corp suena como el nombre de un villano sacado de una película de acción, pero la realidad es mucho más inquietante. Este grupo de ciberdelincuentes no solo existe, sino que ha estado detrás de algunos de los ciberataques más dañinos de los últimos años. Hablamos de millones de dólares robados y empresas enteras paralizadas gracias a sus sofisticados malwares y ataques de ransomware. Pero, ¿cómo es posible que sigan operando? ¿Qué los hace tan peligrosos? En este artículo vamos a desglosar quiénes son, cómo actúan y, lo más importante, cómo puedes protegerte de caer en sus redes.

¿Quién es Evil Corp?

Evil Corp, también conocido como Indrik Spider, es un grupo de hackers prorrusos que se ha ganado una peligrosa reputación por sus ciberataques financieros a gran escala. Desde que empezaron allá por 2007, no han dejado de afinar sus técnicas, pasando del fraude bancario tradicional a los más complejos ataques de ransomware.

Lo que hace a Evil Corp realmente temido es su arsenal de malwares, que han causado estragos a nivel global, sumando cientos de millones de dólares en pérdidas. Detrás de todo esto está Maksim Yakubets, un nombre que ha sonado mucho en el mundo del cibercrimen. Además de ser el cerebro de la operación, Yakubets tiene fuertes conexiones con los servicios de inteligencia rusos, lo que le ha puesto en la mira de las autoridades internacionales. De hecho, las fuerzas de seguridad de Estados Unidos han sancionado a varios de sus miembros y están ofreciendo una recompensa de 5 millones de dólares por su arresto.

Evil Corp no es cualquier grupo de ciberdelincuentes. Es una organización internacional involucrada en fraudes bancarios y ataques de ransomware a gran escala. Está considerada como uno de los grupos más peligrosos de la dark web. Fundado y dirigido por Yakubets, junto a su mano derecha Aleksandr Ryzhenkov, el grupo ha estado detrás de cepas de ransomware famosas como Dridex y WastedLocker.

Toda esta actividad criminal no ha pasado desapercibida. En 2019, el Departamento del Tesoro de Estados Unidos tomó cartas en el asunto e impuso sanciones a varios miembros del grupo, centrándose en Yakubets por sus estrechos vínculos con la inteligencia rusa. Hoy en día, sigue siendo uno de los ciberdelincuentes más buscados del mundo, y la recompensa por su captura no hace más que reforzar lo peligroso que es este sindicato del cibercrimen.

¿Cómo opera Evil Corp?

Evil Corp tiene una estrategia bastante clara: va tras las grandes ligas. Su objetivo principal son grandes empresas e instituciones financieras. Utilizan una mezcla de ataques de phishing dirigidos y malware avanzado para colarse en los sistemas, robar información valiosa y luego bloquear todo con ransomware, pidiendo un rescate para desbloquear los datos.

Este grupo ha robado más de 100 millones de dólares usando esquemas bastante sofisticados. El truco suele empezar con un simple correo de phishing que parece legítimo, pero en realidad descarga malware en los sistemas de la víctima. Una vez dentro, roban credenciales bancarias y llevan a cabo robos automatizados, llevándose millones sin que nadie se dé cuenta a tiempo.

Una de las cosas que hace a Evil Corp tan peligroso es su capacidad para adaptarse y mantenerse un paso por delante de las autoridades. Después de que el gobierno de EE.UU. los sancionara en 2019, comenzaron a cambiar constantemente su estrategia, modificando las firmas de sus ransomware para evitar ser detectados y aprovechando nuevas vulnerabilidades.

Un ejemplo de esto es el uso de Truebot, un malware que les permite explotar vulnerabilidades en software como Netwrix Auditor, para crear una red de dispositivos infectados (botnets) que les da acceso a sistemas de todo el mundo.

Podría interesarte leer:  Resumen de Noticias de Ciberseguridad hasta el 14 de Octubre de 2024

Malware Asociado a Evil Corp

Evil Corp es conocida por desarrollar y usar algunos de los malwares más peligrosos que existen. Aquí tienes algunos de los más importantes:

1. Dridex: Este troyano bancario fue clave en los primeros ataques de Evil Corp, permitiéndoles desviar millones de dólares de cuentas bancarias en todo el mundo.
   
   
2. BitPaymer: Un ransomware que marcó el cambio del grupo hacia la extorsión directa, apuntando a grandes empresas con demandas de rescate multimillonarias.
   
   
3. WastedLocker: Otro ransomware muy potente que cifra los archivos de empresas de alto perfil y exige pagos enormes a cambio de la clave de descifrado.
   
   
4. Truebot: Aunque inicialmente estaba asociado con otro grupo (Silence Group), Evil Corp adoptó este malware. Usaron Truebot para explotar vulnerabilidades de ejecución de código remoto en sistemas como Netwrix, creando redes de bots (botnets) con miles de sistemas comprometidos.
   
   

Cambios tras las Sanciones

Cuando el gobierno de EE.UU. les impuso sanciones en 2019, Evil Corp tuvo que ajustarse rápido. Dejaron de hacer ataques directos de ransomware y adoptaron un modelo de Ransomware como Servicio (RaaS), donde básicamente alquilan sus herramientas a otros hackers a cambio de una parte de las ganancias. Un ejemplo es LockBit, un ransomware que se ha vuelto muy popular entre los ciberdelincuentes.

También empezaron a usar herramientas como SocGholish para acceder a los sistemas de manera más sutil, lo que hizo aún más complicado rastrear sus movimientos. Esta capacidad para adaptarse les ha permitido mantenerse activos a pesar de la presión internacional.

¿Cómo han logrado mantenerse en el juego?

A pesar del constante escrutinio y la presión de las autoridades, Evil Corp sigue esquivando a la ley gracias a su habilidad para innovar. Cambian constantemente el código de sus malware y aprovechan nuevas vulnerabilidades que surgen, lo que les permite reclutar a nuevos cómplices, crear más botnets y seguir generando ganancias a partir de sus actividades ilegales.

Sus conexiones con los servicios de inteligencia rusos, como el FSB y el GRU, también juegan un papel importante. Estos vínculos no solo les dan cierta protección frente a la ley, sino que también les permiten participar en actividades de espionaje que benefician los intereses de Rusia. En otras palabras, no solo están robando millones, sino que también juegan un papel en el juego geopolítico.

A pesar de las sanciones, las recompensas por su captura y el creciente interés de las fuerzas de seguridad internacionales, Evil Corp sigue operando y adaptándose a los cambios. Hoy por hoy, son uno de los grupos de ciberdelincuencia más importantes y activos en la dark web.

Conoce más sobre: Protección contra Ransomware con Acronis

¿Cuáles son las tácticas de Evil Corp?

Evil Corp es conocido por sus sofisticadas tácticas y técnicas para acceder a sistemas y robar información. Aquí te desglosamos, de manera más clara y directa, cómo operan y qué hacen para evitar ser detectados:

Acceso inicial

1. Phishing dirigido (T1566.001): Evil Corp envía correos con archivos adjuntos o enlaces maliciosos. Al hacer clic, el usuario descarga malware como Dridex o BitPaymer.
   
   
2. Explotar aplicaciones vulnerables (T1190): Aprovechan fallos en programas como Netwrix Auditor, ganando acceso total a los sistemas de una red.
   
   
3. Ataques drive-by (T1189): Usan herramientas como SocGholish para infectar sistemas a través de actualizaciones de software falsas o sitios web comprometidos.
   
   

Ejecución

1. Ejecución de archivos maliciosos (T1204.002): Usan malware como Dridex, Truebot y WastedLocker para robar credenciales y luego moverse por la red o lanzar ataques de ransomware.
   
   
2. Uso de PowerShell (T1059.001): Ejecutan scripts de PowerShell para desplegar su malware y controlar los sistemas infectados.
   
   

Evasión de defensa

1. Ofuscación de archivos (T1027): Cambian constantemente las firmas de su malware para que los antivirus no puedan detectarlos.
   
   
2. Enmascaramiento (T1036.005): Disfrazan sus malware bajo nombres y ubicaciones que parecen legítimos, lo que les ayuda a evitar la detección.

Acceso a credenciales

1. Robo de contraseñas del navegador (T1555.003): Extraen contraseñas y cookies de sesión almacenadas en navegadores web para acceder a más cuentas.
   
   
2. Credenciales no seguras (T1552.001): Buscan archivos con credenciales guardadas de forma insegura para ganar acceso a más sistemas o datos.
   
   

Desarrollo de recursos

1. Botnets (T1584.005): Con malware como Truebot, crean botnets que les permiten mantener el control sobre sistemas infectados y acceder a ellos de manera remota.
   
   

Movimiento lateral

1. Explotación de servicios remotos (T1210): Una vez dentro, usan Dridex o Truebot para moverse por la red, acceder a más sistemas y aumentar su control.
   
   

Recopilación de datos

1. Datos locales (T1005): Roban credenciales bancarias y documentos sensibles de los sistemas infectados para realizar fraudes financieros.
   
   
2. Datos del portapapeles (T1115): Capturan información que el usuario haya copiado, como contraseñas, para comprometer más cuentas.
   
   

Mando y control

1. Software de acceso remoto (T1219): Utilizan herramientas de acceso remoto, junto con Truebot y Raspberry Robin, para controlar dispositivos comprometidos desde cualquier lugar y ejecutar comandos.
   
   

Impacto

1. Cifrado de datos (T1486): Los ransomware como WastedLocker y BitPaymer cifran los archivos en las redes atacadas, dejándolos inaccesibles hasta que se pague un rescate.
   
   
2. Apagado/reinicio del sistema (T1529): En algunos casos, provocan apagones o reinicios de los sistemas para interrumpir las operaciones y presionar a las víctimas a pagar el rescate.

Evil Corp no es solo experto en robar dinero, sino en mantenerse escondido mientras lo hace, gracias a sus técnicas para evadir las defensas y adaptarse a las nuevas medidas de seguridad.

Conoce más sobre:  Defensa Cibernética TTP: Técnicas y Procedimientos

Estrategias para Defenderte de Ataques de Grupos como Evil Corp

Protegerse de un grupo tan sofisticado como Evil Corp requiere una estrategia de defensa en capas. Aquí te dejamos algunas recomendaciones clave para mitigar el impacto de sus ataques, así como algunas de nuestras soluciones que pueden ayudarte a mantenerte un paso adelante.

Defensa contra el phishing

1. Lo que puedes hacer: Para combatir el phishing, que es la puerta de entrada favorita de Evil Corp, necesitas una solución avanzada de filtrado de correos electrónicos. Además, es esencial que capacites a tus trabajadores para que sepan identificar intentos de phishing, y que implementes la autenticación multifactor (MFA) para agregar una capa extra de seguridad en caso de que las credenciales se vean comprometidas.
   
   
2. Cómo te puede ayudar TecnetProtect: La solución TecnetProtect ofrece protección avanzada para tu correo electrónico, filtrando correos maliciosos antes de que lleguen a las bandejas de entrada. Además, monitorea continuamente posibles dominios de phishing que podrían estar dirigidos a tu empresa, brindándote alertas tempranas. 
   
   

Mitigación de ransomware

1. Lo que puedes hacer: Implementar soluciones de detección y respuesta en endpoints (EDR) es clave para identificar y bloquear actividades maliciosas como el ransomware WastedLocker o BitPaymer. Asegúrate de segmentar tu red para que un ataque no se propague, y realiza copias de seguridad frecuentes para minimizar el daño en caso de que un ransomware ataque con éxito.
   
   
2. Cómo te puede ayudar TecnetOne: El SOC de TecnetOne envía alertas en tiempo real cuando detecta actividad relacionada con ransomware, incluyendo indicadores de compromiso (IoC) asociados con estas amenazas. Además, su monitoreo de la dark web rastrea foros clandestinos donde se comparten las últimas herramientas y técnicas de ransomware, manteniendo a tu equipo informado sobre las amenazas emergentes.
   
   

Gestión de vulnerabilidades

1. Lo que puedes hacer: Evil Corp aprovecha las vulnerabilidades en aplicaciones públicas como Netwrix Auditor para infiltrarse en redes. Realiza análisis de vulnerabilidades de forma regular y aplica parches lo antes posible, especialmente en sistemas críticos y aquellos expuestos a internet.
   
   
2. Cómo te puede ayudar TecnetOne: La plataforma de análisis de vulnerabilidades de TecnetOne rastrea continuamente las vulnerabilidades en tu infraestructura digital, priorizando las más críticas.
   
   

Conclusión

Evil Corp es uno de los grupos de hackers más peligrosos y organizados que existen. Con malwares como Dridex y sus brutales ataques de ransomware, han extorsionado a grandes empresas y entidades financieras por millones.

Para protegerte de grupos como estos, es clave contar con una buena estrategia de ciberseguridad, mantener a tu equipo bien informado y estar al tanto de las últimas amenazas. Aunque la dark web sigue siendo un paraíso para la ciberdelincuencia, con las medidas adecuadas y un poco de vigilancia, puedes reducir los riesgos y mantener tu información segura.