Evil Corp: “De jacht op 's werelds meest gezochte hackers”

Gepubliceerd op 25 november 2021 om 07:00

Veel van de mensen op de lijst van meest gezochte cybercriminelen van de FBI zijn Russisch. Terwijl sommigen naar verluidt voor de overheid werken en een normaal salaris verdienen, worden anderen ervan beschuldigd een fortuin te verdienen met ransomware-aanvallen en online diefstal. Als ze Rusland zouden verlaten, zouden ze gearresteerd worden, maar thuis lijken ze vrij spel te krijgen.

BBC reporter ging opzoek 

"We verdoen onze tijd," dacht ik, terwijl ik naar een kat keek die het karkas van een weggegooide afhaalkip likte. Er zou zeker geen spoor meer zijn van een vermeende multimiljonair cybercrimineel op dit vervallen landgoed in een vervallen stad 700 km ten oosten van Moskou.

Maar ik zette door met een tolk en cameraman en joeg de schurftige kat weg van de ingang van het flatgebouw. Toen we op een van de deuren klopten, antwoordde een jonge man en een nieuwsgierige oudere vrouw tuurde om de hoek naar ons vanuit de keuken. 'Igor Turashev? Nee, ik herken de naam niet,' zei hij. "Zijn familie staat hier ingeschreven, dus wie ben jij?" vroegen we. Na een vriendelijk gesprek legden we uit dat we verslaggevers waren van de BBC, en de stemming sloeg plotseling om. 'Ik vertel je niet waar hij is en je moet niet proberen hem te vinden. Je had hier niet moeten komen,' zei de jongeman boos.

Ik sliep die nacht niet goed, denkend aan het tegenstrijdige advies dat ik had gekregen van mensen in de veiligheidssector. Sommigen zeiden dat het riskant was om gezochte cybercriminelen in hun eigen land op te sporen. 'Ze zullen gewapende bewakers hebben,' kreeg ik te horen. "Je komt ergens in een sloot terecht", waarschuwde een ander. Anderen zeiden dat het wel goed zou komen - "Het zijn gewoon computernerds." Ze zeiden allemaal dat we niet in de buurt zouden komen.

FBI persconferentie twee jaar geleden

In een persconferentie twee jaar geleden noemde de FBI negen leden van de Russische hackgroep, 'Evil Corp', die Igor Turashev en de vermeende leider van de bende, Maksim Yakubets, beschuldigden van het stelen of afpersen van meer dan $ 100 miljoen aan hacks in 40 verschillende landen. De slachtoffers variëren van kleine bedrijven tot multinationals zoals Garmin, maar ook van liefdadigheidsinstellingen en een school. En dit zijn enkel de slachtoffers die in de pers verschenen.

Het Amerikaanse ministerie van Justitie zegt dat de mannen "de bankovervallers zijn in de cyberwereld", die ransomware-aanvallen uitvoeren of accounts hacken om geld te stelen.

De aankondiging maakte Maksim Yakubets, toen nog maar 32, een uithangbord voor de Russische playboy-hacker.

Op beelden van de bende, verkregen door de Britse National Crime Agency, was te zien hoe de mannen in aangepaste Lamborghini's reden, lachend met stapels contant geld en spelend met een leeuwenwelp als huisdier.

De aanklacht van de FBI tegen de twee mannen was het resultaat van jarenlang werk, waaronder interviews met voormalige bendeleden en het gebruik van cyberforensisch onderzoek. Sommige informatie gaat terug tot 2010, toen de Russische politie nog bereid was om samen te werken met hun Amerikaanse collega's. Die dagen zijn nu al lang voorbij. De Russische regering wuift routinematig Amerikaanse beschuldigingen van hacking tegen haar burgers weg. In feite mogen de hackers niet alleen doorgaan, ze worden ook gerekruteerd door de beveiligingsdiensten.

Start Onderzoek BBC

Maksim Yakubets

Ons onderzoek naar Maksim Yakubets begon op een onwaarschijnlijke plaats - een golfbaan ongeveer twee uur buiten Moskou. Dit was de locatie voor zijn spectaculaire bruiloft in 2017, waarvan een video werd opgemerkt door Radio Free Europe/Radio Liberty en veel werd gedeeld. Het is veelzeggend dat Yakubets gezicht nooit wordt getoond in de beelden, gefilmd door een productiebedrijf voor trouwvideo's, maar hij kan worden gezien terwijl hij danst op livemuziek uitgevoerd door een beroemde Russische zanger onder een prachtige lichtshow.

Weddingplanner Natalia zou niet ingaan op details over de grote dag van Yakubets, maar liet ons enkele van de belangrijkste locaties zien, waaronder een gebouw met pilaren dat uit de heuvels bij een meer is uitgehouwen. 'Het is onze exclusieve kamer,' zei ze. "De pasgetrouwden komen graag naar binnen voor fotoshoots en romantiek." Terwijl we werden rondgereden door een golfkar, ging ik wat rekenen met de getallen die ze ons vertelde. Zou deze grootse bruiloft aanzienlijk meer hebben gekost dan de schattingen die ik eerder had gehoord van ongeveer $ 250.000. Het prijskaartje was potentieel dichter bij een half miljoen dollar, of zelfs $ 600.000. We weten niet hoe de speciale dag werd betaald, maar als Yakubets de rekening ophaalde, is dat een indicatie van hoe uitbundig zijn levensstijl is.

Igor Turashev

Evenmin houdt Igor Turashev (40) zich onopvallend. Met behulp van openbare registers vond mijn collega Andrey Zakharov, BBC Russia's Cyber ​​Reporter, drie bedrijven die op zijn naam stonden. Ze hebben allemaal kantoren in de prestigieuze Federation Tower in Moskou, een glanzende wolkenkrabber in het financiële district die niet zou misstaan ​​in Manhattan of Canary Wharf in Londen.

Een verbaasde receptioniste zocht naar een telefoonnummer en ontdekte dat de kantoren er geen hadden. Ze vond wel een mobiele telefoon onder de naam van de firma en verbond ons door. We belden het en wachtten. Een nummer van Frank Sinatra speelde ongeveer vijf minuten, en toen nam eindelijk iemand op, klinkend alsof hij in een drukke straat was - echter ging die op toen we vertelden dat we journalisten waren.

Zoals Andrey uitlegde, wordt Turashev niet gezocht in Rusland, dus niemand houdt hem tegen om deze dure kantoorruimte in het stadscentrum te huren/kopen. Het kan voor hem ook handig zijn om zich tussen financiële bedrijven te bevinden, waaronder enkele die handelen in cryptocurrencies, zoals Bitcoin, die Evil Corp zou hebben verzameld van slachtoffers van ransomware-aanvallen - naar verluidt in één geval $ 10 miljoen.

Geldautomaten voor cybercriminelen

Een Bloomberg-rapport dat onderzoek van Bitcoin-analisten Chainalysis gebruikte, beweert dat de 'Federation Tower' tal van crypto-bedrijven herbergt die fungeren als "geldautomaten voor cybercriminelen".

Twee andere adressen die gelinkt waren aan Turashev hebben we proberen te benaderen en nog een andere belangrijke figuur van Evil Corp genaamd Denis Gusev, maar niemand antwoordde.

Andrey en ik hebben lang gezocht naar de werkplek van Maksim Yakubets. Vroeger was hij directeur van het veevoederbedrijf van zijn moeder, maar tegenwoordig lijkt hij geen geregistreerd bedrijf of werkgever te hebben.

Wat we wel vonden waren adressen waar hij misschien nog woonde, dus op een avond gingen we langs.

We spraken een man door een intercom terwijl we uitlegden waar we vandaan kwamen. 

"Maksim Yakubets is er niet. Hij is hier waarschijnlijk al vijftien jaar niet meer. Ik ben zijn vader," zei hij. 

Tot onze verbazing kwam Yakubets senior vervolgens de gang in en gaf ons een gepassioneerd interview van 20 minuten voor de camera, waarin hij de Amerikaanse autoriteiten boos veroordeelde voor het aanklagen van zijn zoon.

Familie in angst voor aanvallen

De Amerikaanse beloning van $ 5 miljoen voor informatie die leidt tot de arrestatie van zijn zoon (de hoogste premie ooit voor een met name genoemde cybercrimineel) had ertoe geleid dat de familie in angst voor aanvallen leefde, vertelde Yakubets, en eiste dat we zijn woorden zouden publiceren. "De Amerikanen hebben een probleem gecreëerd voor mijn familie en mensen die ons kennen. Wat was het doel? Amerikaanse gerechtigheid in Sovjetrecht? Hij werd niet ondervraagd en er zijn geen procedures die zijn schuld bewijzen." 

Hij ontkent dat zijn zoon een cybercrimineel is. Toen ik vroeg hoe hij dacht dat hij zo rijk was geworden, lachte hij en zei dat ik het prijskaartje van de bruiloft overdreef en dat de luxe auto's waren gehuurd. Het salaris van Maksim is hoger dan gemiddeld, zei hij, "hij werkt, hij wordt betaald, hij heeft een baan". Wat doet hij dan voor werk?' vroeg ik. "Waarom zou ik je dat vertellen?".

Sinds de aanklacht had de vader geen contact meer had met zijn zoon, dus kon hij ons niet met hem in contact brengen.

Groeiende lijst van Russische cybercriminelen

Yakubets en Turashev maken deel uit van de groeiende lijst van Russische cybercriminelen, terwijl het Westen worstelt om te reageren op cyberaanvallen. Er zijn meer Russische mensen en organisaties gesanctioneerd en aangeklaagd dan die van enige andere nationaliteit.

Aanklachten voorkomen dat de hackers naar het buitenland reizen, terwijl de sancties alle activa die ze in het Westen hebben bevriezen en hen verbieden zaken te doen met westerse bedrijven.

Vorig jaar begon de Europese Unie cybersancties uit te vaardigen, in de voetsporen van de VS, en het zijn vooral Russen die ook op deze lijst worden genoemd en beschaamd. De overgrote meerderheid van de personen op deze lijsten zou directe banden hebben met de Russische staat. Hacken om te spioneren, macht uit te oefenen of druk uit te oefenen.

Terwijl alle landen elkaar hacken, beweren de VS en de EU en bondgenoten dat sommige van de Russische aanvallen een grens overschrijden, in termen van wat acceptabel is.

Sommige mannen worden ervan beschuldigd wijdverbreide stroomuitval in Oekraïne te hebben veroorzaakt door elektriciteitsnetten te hacken. Anderen worden gezocht omdat ze probeerden een testfaciliteit voor chemische wapens te hacken in de nasleep van de vergiftigingen in Salisbury.

Kremlin ontkent beschuldigingen

Het Kremlin ontkent alle beschuldigingen en lacht ze routinematig weg als westerse hysterie en "Russofobie".

Omdat er geen duidelijke regels zijn voor wat acceptabel is voor hacking door een staat, hebben we in ons onderzoek bewust geconcentreerd op de personen die ervan worden beschuldigd te hacken voor eigen financieel gewin.

Werken cybersancties tegen "criminele" hackers? 

Als we met de vader van Yakubets praten, lijkt het erop dat ze enige impact hebben,  ze maakten hem in ieder geval woedend. Echter Evil Corp lijkt onaangetast te zijn. Cybersecurity-onderzoekers beweren dat de bemanning nog steeds lucratieve cyberaanvallen uitvoert op voornamelijk westerse doelen.

De "gouden regel" van Russisch hacken is volgens onderzoekers en voormalige hackers dat criminele hackers die niet in dienst zijn van de staat, kunnen hacken wie ze willen, zolang de slachtoffers zich niet in Russisch sprekende of voormalige Sovjetgebieden bevinden. De regel lijkt te werken, aangezien cybersecurity-onderzoekers al jaren minder aanvallen in die landen zien.

Ze hebben ook ontdekt dat sommige malware is ontworpen om computers met een Russisch taalsysteem te vermijden. Lilia Yapparova, een onderzoeksjournalist die werkt bij Meduza, een van de weinige onafhankelijke nieuwsorganisaties in het land, zegt dat de gouden regel nuttig is voor de inlichtingendiensten, die vervolgens de vaardigheden kunnen benutten die hackers hebben ontwikkeld terwijl ze voor zichzelf werken. "Het is waardevoller voor de FSB om hackers in Rusland in te schakelen dan om ze in de gevangenis te zetten. Een van mijn bronnen, een ex-FSB-officier, vertelde me dat hij persoonlijk probeerde enkele van de jongens van Evil Corp in te schakelen om wat te doen werk voor hem", zegt ze.

De VS beweren dat Maksim Yakubets en andere gezochte hackers - waaronder Evgeniy Bogachev, die een premie van 3 miljoen dollar heeft uitgeloofd voor zijn arrestatie - rechtstreeks voor de inlichtingendiensten hebben gewerkt. Het is misschien geen toeval dat de schoonvader van Yakubets, te zien in de trouwvideo, een voormalig hooggeplaatst lid van de FSB is. We hebben de Russische regering gevraagd commentaar te geven op het feit dat hackers vrijelijk in Rusland lijken te opereren, maar kregen geen antwoord.

Toen Vladimir Poetin deze zomer op de top van Genève met Joe Biden hierover werd gevraagd, ontkende hij dat spraakmakende aanvallen uit zijn land kwamen en beweerde hij zelfs dat de meeste cyberaanvallen in de VS begonnen. Maar hij zei dat hij met de VS zou samenwerken om "orde te brengen".

De opkomst van Evil Corp

  • 2009: Evil Corp start activiteiten en gebruikt naar verluidt malware genaamd Cridex, Dridex, Bugat of Zeus om bankaanmeldingen te stelen en geld van rekeningen te stelen
  • 2012: Leden van Evil Corp worden aangeklaagd door een rechtbank in Nebraska onder hun online naam, omdat hun identiteit onbekend is (Yakubets gaat naar verluidt onder de naam "Aqua")
  • 2017: De groepering wordt beschuldigd van het starten van een "ransomware as a service" (RaaS)-operatie - er wordt beweerd dat andere hackers betalen om hun ransomware te gebruiken, genaamd BitPaymer
  • 2019: Yakubets, Turashev en zeven anderen worden aangeklaagd, gesanctioneerd of aangewezen in de VS - een premie van $ 5 miljoen wordt aangeboden voor informatie die leidt tot de arrestatie van Yakubets
  • Sinds 2019 zou Evil Corp verschillende merken en varianten van ransomware hebben doorlopen, waaronder DoppelPaymer, Grief, WastedLocker, Hades, Phoenix en Macaw.

Verstoren en stuk maken

In de afgelopen zes maanden zijn de VS en hun bondgenoten verder gegaan dan cybersancties en zijn begonnen met een veel agressievere tactiek toe te passen.  Ze zijn gestart met het terug hacken en hebben met succes een aantal van hen offline gehaald, althans tijdelijk. REvil en DarkSide hebben op forums aangekondigd dat ze niet langer actief zijn vanwege wetshandhaving. Bij twee gelegenheden zijn hackers van de Amerikaanse overheid er zelfs in geslaagd om miljoenen dollars aan Bitcoin van slachtoffers terug te halen. Bij een internationale inspanning waarbij Europol en het Amerikaanse ministerie van Justitie zijn betrokken, zijn ook vermeende hackers gearresteerd in Zuid-Korea, Koeweit, Roemenië en Oekraïne.

Cybersecurity-onderzoekers zeggen echter dat er meer groepen opduiken en dat er elke week aanvallen plaatsvinden. Het fenomeen zal niet verdwijnen zolang hackers kunnen floreren in Rusland. Een overzicht van cyberaanvallen vind je hier en FBI's gezochte cybercriminelen hier.

Bron: anoniem, youtube.com, bloomberg.com, thesun.co.uk, bbc.com

Lees ook:

Meer info over cybercrime 》

Actuele aanvallen overzicht per dag 》

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

Ruim helft van de jongeren die ICT-onderwijs volgen plegen cyberdelicten

Een groot deel van de Nederlandse jongeren die ICT-onderwijs volgen, maakt zich wel eens schuldig aan cybercrime. Dit blijkt uit onderzoek van de VU en het NSCR. Toch blijkt het niet zo makkelijk om onderscheid te maken tussen jongeren die ´goede´ en ´slechte´ dingen doen met computers en ICT. Veel jongeren die online de wet overtreden, gebruiken hun ICT-vaardigheden tegelijkertijd om anderen te helpen of zich maatschappelijk in te zetten. Dit betekent dat jonge daders van online delicten kunnen worden gestimuleerd om hun vaardigheden positief in te zetten.

Lees meer »

Ruim 30.000 domeinnaamhouders gewaarschuwd voor malware en phishing

De Stichting Internet Domeinregistratie Nederland (SIDN), de organisatie die de domeinnamen voor het .nl-domein beheert, heeft in een jaar tijd ruim 30.000 domeinnaamhouders gewaarschuwd voor malware en phishing. Dat meldt de organisatie in een transparantierapport (pdf onderaan het artikel).  Het gaat om de periode vanaf het vierde kwartaal van 2020 tot en met het derde kwartaal van 2021. Bij de meeste gevallen betrof het waarschuwingen voor phishing.

Lees meer »

Criminal-to-criminal-model met een duidelijke rolverdeling neemt verder toe in 2022

Er zijn inmiddels al twee pandemie-jaren verstreken. Deze jaren hebben niet alleen veranderingen teweeggebracht in de werkcultuur, maar hebben ook gezorgd voor compleet nieuwe security-uitdagingen. Waar in het eerste coronajaar het verhuizen van medewerkers naar de thuisomgeving centraal stond, werden bedrijven het afgelopen jaar geconfronteerd met de veiligheidsrisico’s die deze, soms overhaaste, digitalisering met zich meebracht. Om de veiligheidsrisico’s het komende jaar te minimaliseren, zullen bedrijven hun IT-beveiligingsinfrastructuur moeten aanpassen aan de cloud. Nicolas Casimir, CISO EMEA bij Zscaler, gaat verder in op deze en andere trends voor het komende jaar.

Lees meer »

‘VPNLab’ offline gehaald door politie diensten

Handhavingsinstanties ondernamen deze week actie tegen het misbruik van VPN-diensten door criminelen. Dit deden ze door de infrastructuur en de gebruikers van VPNLab.net aan te pakken. De producten van de VPN-provider, bedoeld voor afgeschermde communicatie en internettoegang, werden ter ondersteuning van ernstige misdrijven gebruikt. Zoals de inzet van Ransomware en andere cybercriminaliteit.

Lees meer »

Informatiebeveiliging en cyberrisico’s één van belangrijkste risico’s voor financiële instellingen

De Nederlandsche Bank ziet informatiebeveiliging en de daarmee samenhangende cyberrisico’s als een van de belangrijkste strategische risico’s bij financiële instellingen. Dat blijkt uit de 2021 editie van DNB’s IB-monitor. De toezichthouder stelt dat ruim 15% van de Nederlandse pensioenfondsen en verzekeraars het afgelopen jaar te maken heeft gehad met aanzienlijke financiële schade door beveiligingsincidenten en datalekken.

Lees meer »

Wat we niet meer moeten doen in 2022

Het nieuwe jaar is een geweldige kans om je digitale activiteiten een nieuw leven in te blazen. Een steeds belangrijker onderdeel daarvan is digitale weerbaarheid. 2021 was een van de meest productieve jaren voor cybercriminelen. Nieuwe cijfers laten dit goed zien. Tot en met november ontving de politie 13.000 aangiften van cybercrime. Dat is een toename van bijna 20 procent ten opzichte van 2020, toen er in heel 2020 bijna 11.000 aangiften binnenstroomden. 

Lees meer »