Dentro de "Evil Corp", una amenaza de cibercrimen de $ 100 millones – Krebs on Security


los Departamento de justicia de EE. UU. este mes ofreció una recompensa de $ 5 millones por información que conduzca al arresto y condena de un hombre ruso acusado de presuntamente orquestar una vasta red internacional de delitos cibernéticos que se autodenominó "Evil Corp"Y robó aproximadamente $ 100 millones a empresas y consumidores. Resulta que, durante varios años, KrebsOnSecurity monitoreó de cerca las comunicaciones y actividades diarias del acusado y sus cómplices. Lo que sigue es una mirada interna a las operaciones de fondo de esta pandilla.

Imagen: FBI

Se ofrece la recompensa de $ 5 millones para los 32 años Maksim V. Yakubets, a quien el gobierno dice que fue por los apodos "agua, "Y"aquamo," entre otros. Los federales alegan que Aqua lideró un anillo de ciberdelincuencia de élite con al menos otros 16 que utilizaron cepas de malware avanzadas y personalizadas conocidas como "JabberZeus"Y"Bugat"(También conocido como"Dridex") Para robar credenciales bancarias de los empleados de cientos de pequeñas y medianas empresas en los Estados Unidos y Europa.

Desde 2009 hasta el presente, el papel principal de Aqua en la conspiración fue reclutar y administrar un suministro continuo de cómplices involuntarios o cómplices para ayudar a Evil Corp. a lavar el dinero robado de sus víctimas y transferir fondos a miembros de la conspiración con sede en Rusia, Ucrania y otros partes de Europa del Este. Estos cómplices, conocidos como "mulas de dinero", generalmente se reclutan a través de solicitudes de trabajo en el hogar enviadas por correo electrónico y a personas que han enviado sus currículums a sitios web de búsqueda de empleo.

Los reclutadores de mulas de dinero tienden a apuntar a las personas que buscan empleo remoto a tiempo parcial, y los trabajos generalmente implican poco trabajo aparte de recibir y reenviar transferencias bancarias. Las personas que muerden estas ofertas a veces reciben pequeñas comisiones por cada transferencia exitosa, pero con la misma frecuencia terminan quedando rígidos de un día de pago prometido, y / o reciben una visita o una carta amenazadora de las agencias de aplicación de la ley que rastrean dicho delito (más sobre eso en un momento).

ENGANCHADO A UNA MULA

KrebsOnSecurity se encontró por primera vez con el trabajo de Aqua en 2008 como reportero de The Washington Post. Una fuente dijo que habían encontrado una forma de interceptar y leer los chats diarios en línea entre Aqua y otros reclutadores de mulas y proveedores de malware que robaban cientos de miles de dólares por semana a empresas pirateadas.

La fuente también descubrió un patrón en la convención de nombres y la aparición de varios sitios web de reclutamiento de mulas de dinero operados por Aqua. Las personas que respondieron a los mensajes de reclutamiento fueron invitadas a crear una cuenta en uno de estos sitios, ingresar datos personales y de cuenta bancaria (a las mulas se les dijo que procesarían los pagos para los "programadores" de su empleador con sede en Europa del Este) y luego iniciar sesión cada día para buscar nuevos mensajes.

A cada mula se le dio trabajo ocupado o tareas domésticas durante unos días o semanas antes de que se le pidiera que manejara las transferencias de dinero. Creo que esto fue un esfuerzo para eliminar las mulas de dinero poco confiables. Después de todo, aquellos que llegaron tarde al trabajo tendieron a costarles mucho dinero a los delincuentes, ya que el banco de la víctima generalmente intentaba revertir cualquier transferencia que las mulas no hubieran retirado.

Uno de los varios sitios creados por Aqua y otros para reclutar y administrar mulas de dinero.

Cuando llegaba el momento de transferir fondos robados, los reclutadores enviaban un mensaje a través del sitio de mulas diciendo algo como: “Buenos días (nombre de la mula aquí). Nuestro cliente, XYZ Corp., le está enviando dinero hoy. Visite su banco ahora y retire este pago en efectivo, y luego transfiera los fondos en pagos iguales, menos su comisión, a estas tres personas en Europa del Este ".

Solo que, en todos los casos, la compañía mencionada como el "cliente" era de hecho una pequeña empresa cuyas cuentas de nómina ya habían pirateado.

Aquí es donde se puso interesante. Cada uno de estos sitios de reclutamiento de mulas tenía la misma debilidad de seguridad: cualquiera podía registrarse y, después de iniciar sesión, cualquier usuario podía ver los mensajes enviados desde y hacia todos los demás usuarios simplemente cambiando un número en la barra de direcciones del navegador. Como resultado, fue trivial automatizar la recuperación de mensajes enviados a cada mula de dinero registrada en docenas de estos sitios falsos de la compañía.

Entonces, cada día durante varios años mi rutina matutina fue la siguiente: hacer una cafetera de café; arrastrarse hacia la computadora y ver los mensajes que Aqua y sus cómplices habían enviado a sus mulas de dinero durante las 12-24 horas anteriores; busque los nombres de las compañías víctimas en Google; Levante el teléfono para advertir a cada uno que estaban en el proceso de ser robados por la mafia cibernética rusa.

Mi participación en todas estas llamadas fue más o menos la misma: "Probablemente no tenga idea de quién soy, pero aquí está toda mi información de contacto y lo que hago. Sus cuentas de nómina han sido pirateadas y está a punto de perder una gran cantidad de dinero. Debe comunicarse con su banco de inmediato y hacer que suspendan las transferencias pendientes antes de que sea demasiado tarde. No dude en volver a llamarme si desea obtener más información sobre cómo sé todo esto, pero por ahora solo llame o visite su banco ".

Mensajes hacia y desde una mula de dinero que trabaja para la tripulación de Aqua, alrededor de mayo de 2011.

En muchos casos, mi llamada llegaría en cuestión de minutos u horas antes de que el banco de la empresa víctima procesara un lote de nómina no autorizado, y algunas de esas notificaciones impidieron lo que de otro modo habrían sido enormes pérdidas, a menudo varias veces la cantidad del semanario normal de la organización. nómina de sueldos. En algún momento dejé de contar cuántas decenas de miles de dólares esas llamadas salvaron a las víctimas, pero durante varios años probablemente fueron millones.

Con la misma frecuencia, la compañía de víctimas sospecharía que de alguna manera estuve involucrado en el robo, y poco después de alertarlos recibiría una llamada de un agente del FBI o de un oficial de policía en la ciudad natal de la víctima. Esas siempre fueron conversaciones interesantes. No hace falta decir que las víctimas que hicieron girar sus ruedas persiguiéndome, generalmente sufrieron pérdidas financieras mucho más sustanciales (principalmente porque demoraron en llamar a su institución financiera hasta que fue demasiado tarde).

Colectivamente, estas notificaciones a las víctimas de Evil Corp. condujeron a docenas de historias durante varios años sobre pequeñas empresas que luchan contra sus instituciones financieras para recuperar sus pérdidas. No creo haber escrito nunca sobre una sola víctima que no estaba de acuerdo con que llamara la atención sobre su difícil situación y la sofisticación de la amenaza que enfrentan otras compañías.

BAJOS AMIGOS EN ALTOS LUGARES

Según el Departamento de Justicia de EE. UU., Yakubets / Aqua se desempeñó como líder de Evil Corp. y fue responsable de administrar y supervisar las actividades de ciberdelitos del grupo en el despliegue y uso del malware bancario Jabberzeus y Dridex. El Departamento de Justicia señala que antes de servir en este rol de liderazgo de Evil Corp, Yakubets también estuvo directamente asociado con Evgeniy "Slavik" Bogachev, un cibercriminal ruso previamente designado responsable de la distribución de los esquemas de malware Zeus, Jabber Zeus y GameOver Zeus que actualmente tiene una recompensa del FBI de $ 3 millones en su cabeza.

Evgeniy M. Bogachev, en fotos sin fecha.

Como se señaló en historias anteriores aquí, en tiempos de conflicto con los vecinos de Rusia, Slavik era conocido por reorganizar sus máquinas delictivas para buscar información clasificada sobre sistemas de víctimas en regiones del mundo que eran de interés estratégico para el gobierno ruso, particularmente en Turquía y Ucrania.

"Los cibercriminales son reclutados para la causa nacional de Rusia a través de una combinación de coerción, pagos y llamamientos al sentimiento patriótico", dice una historia de 2017 desde El registro en la empresa de seguridad Cybereason’S análisis de la escena rusa del cibercrimen. “El uso de contratistas privados por parte de Rusia también tiene otros beneficios al ayudar a disminuir los costos operativos generales, mitigar el riesgo de detección y obtener experiencia técnica que no pueden reclutar directamente en el gobierno. La combinación de una cibermilicia con equipos de piratería oficial patrocinados por el estado ha creado la comunidad cibercriminal más avanzada y audaz técnicamente del mundo ".

Esto es interesante porque el Departamento del Tesoro de EE. UU. dice que Yukabets a partir de 2017 estaba trabajando para el FSB ruso, una de las principales organizaciones de inteligencia de Rusia.

"A partir de abril de 2018, Yakubets estaba en proceso de obtener una licencia para trabajar con información clasificada rusa del FSB", señala una declaración del Tesoro

El papel del Departamento del Tesoro en esta acción es clave porque significa que Estados Unidos ahora ha impuesto sanciones económicas a Yukabets y 16 asociados acusados, congelando efectivamente todos los bienes e intereses de estas personas (sujeto a la jurisdicción de los Estados Unidos) y convirtiéndolo en un delito realizar transacciones con Estas personas.

El departamento de justicia denuncia penal contra Yukabets (PDF) menciona varias comunicaciones de chat interceptadas entre Aqua y sus supuestos asociados en las que se preguntan por qué KrebsOnSecurity parecía saber tanto sobre sus operaciones internas y sus víctimas. En las siguientes conversaciones de chat (traducidas del ruso), Aqua y otros discuten una historia para la que escribí The Washington Post en 2009 sobre el robo de cientos de miles de dólares de las cuentas de nómina del condado de Bullitt, Ky:

tanque: (¿Estás) allí?
indep: si.
indep: Saludos.
tanque: http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html#more
Tanque: Esto todavía se trata de mí.
tanque: Originador: BULLITT COUNTY FISCAL Compañía: Tribunal Fiscal del Condado de Bullitt
tanque: Él es la cuenta de la cual cobramos.
tanque: Hoy alguien más envía esta noticia.
tank: Estoy leyendo y pensando: Déjame echar un vistazo a la historia. Por alguna razón, este nombre es familiar.
tanque: estoy en línea y miraré. Ah, aquí está esta mierda.
indep: ¿Cómo estás?
tank: ¿Recibiste mis anuncios?
indep: Bueno, te felicito (a ti).
indep: Esto es una mierda cuando escriben sobre ti en las noticias.
tanque: ¿De quién (qué)?
tanque: 😀
indep: no se necesita demasiada publicidad.
tank: Bueno, entonces nadie sabe de quién están hablando.

tank: Bueno, sin embargo, estaban escribiendo sobre nosotros.
aqua: Entonces, ¿por quién cerraron Western Union para Ucrania?
aqua: mierda dura.
tanque: ************* Originador: BULLITT COUNTY FISCAL Compañía: Bullitt
Tribunal Fiscal del Condado
aqua: Entonces?
aqua: Este es el sistema judicial.
Tanque: Mierda.
tanque: sí
aqua: Por eso se follaron (¿clavaron?) varias gotas.
Tanque: Sí, de hecho.
aqua: Bueno, joder. Hackers: es cierto que robaron mucho dinero.

Aproximadamente al mismo tiempo, uno de los miembros de la tripulación de Aqua conversó con Slavik, quien usó el apodo "lucky12345" en ese momento:

tanque: ¿estás ahí?
tanque: Esto es lo que ellos escribieron sobre mí.
tanque: http://voices.washingtonpost.com/securityfix/2009/07/an_odyssey_of_fraud_part_ii.html#more
tanque: echaré un vistazo rápido al historial
tanque: Originador: BULLITT COUNTY FISCAL Compañía: Tribunal Fiscal del Condado de Bullitt
tank: Bueno, lo obtuviste de ese cobro.
lucky12345: ¿De 200K?
tanque: Bueno, no son las cantidades correctas y el retiro de efectivo de esa cuenta fue una mierda.
tanque: Levak fue escrito allí.
tanque: Porque ahora todo Estados Unidos sabe acerca de Zeus.
tanque: 😀
lucky12345: Está jodido.

El 13 de diciembre de 2009, uno de los reclutadores de mulas de dinero de la pandilla Jabberzeus, un ladrón que usaba el seudónimo "Jim Rogers", de alguna manera aprendió sobre algo que no había compartido más allá de unos pocos amigos de confianza en ese momento: que The Washington Post había eliminado mi trabajo en el proceso de fusionar el sitio web del periódico (donde trabajaba en ese momento) con la edición del árbol muerto. El siguiente es un intercambio entre Jim Rogers y el "tanque" citado anteriormente:

jim_rogers: Existe el rumor de que nuestro favorito (Brian) no obtuvo la extensión de su contrato en el Washington Post. Estamos esperando vertiginosamente la confirmación 🙂 ¡Buenas noticias esperadas exactamente para el Año Nuevo! Además de nosotros, nadie lee su columna 🙂

tanque: Mr. Fucking Brian Fucking Curbs!

En marzo de 2010, Aqua divulgaría en un chat encriptado que su equipo estaba trabajando directamente con el autor de Zeus (Slavik / Lucky12345), pero que lo encontraron abrasivo y difícil de tolerar:

dimka: Leí sobre el rey de los mares, ¿fue tu trabajo útil?
aqua: de que estas hablando? Muéstrame
dimka: zeus
aqua: 🙂
aqua: sí, lo estamos usando ahora
aqua: su desarrollador se sienta con nosotros en el sistema
dimka: es algo popular
aqua: pero, él, hijo de puta, molesto por todos, no quiere escribir bypass de interactivos (escaneos) y penetración de troyanos 35-40%, perra
aqua: si, mierda
aqua: necesitamos algo mejor
aqua: http://voices.washingtonpost.com/securityfix léalo 🙂 aquí encontrará casi todo sobre nosotros 🙂
Dimka: Creo que todo será un poco diferente, si lo crees
aqua: nosotros, en este sistema, el perro grande, el resto del sistema estamos haciendo una pequeña basura

Más tarde ese mes, Aqua lamentó aún más la publicidad sobre su trabajo, señalando una historia de KrebsOnSecurity sobre un ataque sofisticado en el que su malware no solo interceptó una contraseña de un solo uso para iniciar sesión en la cuenta bancaria de la víctima, sino que incluso modificó la propia del banco. Sitio web como se muestra en el navegador de la víctima para señalar un número falso de atención al cliente.

Irónicamente, el número de teléfono falso del banco fue lo que alertó al empleado de la compañía víctima. En este caso, el banco de la víctima, Fifth Third Bank (denominado "53" en el chat a continuación) pudo recuperar el dinero robado por las mulas de dinero de Aqua, pero no los fondos que se tomaron a través de transferencias bancarias internacionales fraudulentas. Los ciberdelincuentes en este chat también se quejan de que necesitarán una versión recientemente ofuscada de su malware debido a la exposición pública:

aqua: mañana, todo debería funcionar.
aqua: joder, necesitamos encontrar más calcetines para spam.
aqua: está bien, así que mañana Petro (otro conspirador que recibió el apodo de Petr0vich) nos dará un (nuevo) .exe
jtk: ok
jim_rogers: este no funciona
jim_rogers: http://www.krebsonsecurity.com/2010/03/crooks-crank-up-volume-of-e-banking-attacks/
jim_rogers: aquí está escrito sobre mi transferencia desde 53. Cómo hice varios cables como decía allí. Y una mujer quemó el trato debido a un número de teléfono falso.

INICIATIVA ANTIMULA

Junto con las acusaciones contra Evil Corp, el Departamento de Justicia se unió a funcionarios de Europol ejecutar una acción de aplicación de la ley y una campaña de concientización pública para combatir la actividad de mulas de dinero.

"Más del 90% de las transacciones de mulas de dinero identificadas a través de las acciones europeas de mulas de dinero están vinculadas al delito cibernético", escribió Europol en una declaración Sobre la acción. "El dinero ilegal a menudo proviene de actividades delictivas como phishing, ataques de malware, fraude de subastas en línea, fraude de comercio electrónico, compromiso de correo electrónico comercial (BEC) y fraude de CEO, estafas de romance, fraude de vacaciones (fraude de reserva) y muchos otros".

El DOJ dijo Las fuerzas del orden público de EE. UU. Interrumpieron las redes de mulas que abarcaban desde Hawai hasta Florida y desde Alaska hasta Maine. Se tomaron medidas para detener la conducta de más de 600 mulas de dinero nacionales, incluidas 30 personas acusadas penalmente por su papel en recibir pagos de víctimas y proporcionar el producto del fraude a los cómplices.

Algunos consejos de Europol sobre cómo detectar estafas de reclutamiento de mulas de dinero disfrazadas de ofertas de trabajo legítimas.

Es bueno ver más educación pública sobre el daño que infligen las mulas de dinero, porque sin ellos, la mayoría de estos esquemas criminales simplemente se desmoronan. Además de ayudar a lavar fondos de las víctimas de troyanos bancarios, las mulas de dinero a menudo son fundamentales para evadir a las personas mayores atrapadas por varias estafas de confianza en línea.

También es genial ver al gobierno de los Estados Unidos finalmente empuñando su arma más poderosa contra los ciberdelincuentes con sede en Rusia y otros refugios seguros para dicha actividad: sanciones económicas que restringen severamente el acceso de los ciberdelincuentes a ganancias ilícitas y la capacidad de lavar el producto de sus crímenes. invirtiendo en activos en el extranjero.

Otras lecturas:

Comentarios de la conferencia de prensa del DOJ sobre Yakubets
Se anuncian cargos del FBI en conspiración de malware
Acusación de 2019 de Yakubets, Turashev. et al.
2010 Demanda penal vs. Yukabets, et. Alabama.
Alerta "deseada" del FBI sobre Igor "Enki" Turashev
Alerta US-CERT sobre Dridex


Etiquetas: aqua, aquamo, Bugat, Dridex, Europol, Evgeniy Mikhailovich Bogachev, Evil Corp., Igor "Enki" Turashev, JabberZeuS, luck12345, Maksim V. Yukabets, mulas de dinero, Slavik, Departamento de Justicia de EE. UU., Departamento del Tesoro de EE. UU., Troyano ZeuS

Esta entrada se publicó el lunes 16 de diciembre de 2019 a las 9:08 a.m. y se archiva en A Little Sunshine, Ne'er-Do-Well News, Target: Small Businesses.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2.0.

Puedes saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia original