Evil Corp: “De jacht op 's werelds meest gezochte hackers”

Gepubliceerd op 25 november 2021 om 07:00

Veel van de mensen op de lijst van meest gezochte cybercriminelen van de FBI zijn Russisch. Terwijl sommigen naar verluidt voor de overheid werken en een normaal salaris verdienen, worden anderen ervan beschuldigd een fortuin te verdienen met ransomware-aanvallen en online diefstal. Als ze Rusland zouden verlaten, zouden ze gearresteerd worden, maar thuis lijken ze vrij spel te krijgen.

BBC reporter ging opzoek 

"We verdoen onze tijd," dacht ik, terwijl ik naar een kat keek die het karkas van een weggegooide afhaalkip likte. Er zou zeker geen spoor meer zijn van een vermeende multimiljonair cybercrimineel op dit vervallen landgoed in een vervallen stad 700 km ten oosten van Moskou.

Maar ik zette door met een tolk en cameraman en joeg de schurftige kat weg van de ingang van het flatgebouw. Toen we op een van de deuren klopten, antwoordde een jonge man en een nieuwsgierige oudere vrouw tuurde om de hoek naar ons vanuit de keuken. 'Igor Turashev? Nee, ik herken de naam niet,' zei hij. "Zijn familie staat hier ingeschreven, dus wie ben jij?" vroegen we. Na een vriendelijk gesprek legden we uit dat we verslaggevers waren van de BBC, en de stemming sloeg plotseling om. 'Ik vertel je niet waar hij is en je moet niet proberen hem te vinden. Je had hier niet moeten komen,' zei de jongeman boos.

Ik sliep die nacht niet goed, denkend aan het tegenstrijdige advies dat ik had gekregen van mensen in de veiligheidssector. Sommigen zeiden dat het riskant was om gezochte cybercriminelen in hun eigen land op te sporen. 'Ze zullen gewapende bewakers hebben,' kreeg ik te horen. "Je komt ergens in een sloot terecht", waarschuwde een ander. Anderen zeiden dat het wel goed zou komen - "Het zijn gewoon computernerds." Ze zeiden allemaal dat we niet in de buurt zouden komen.

FBI persconferentie twee jaar geleden

In een persconferentie twee jaar geleden noemde de FBI negen leden van de Russische hackgroep, 'Evil Corp', die Igor Turashev en de vermeende leider van de bende, Maksim Yakubets, beschuldigden van het stelen of afpersen van meer dan $ 100 miljoen aan hacks in 40 verschillende landen. De slachtoffers variëren van kleine bedrijven tot multinationals zoals Garmin, maar ook van liefdadigheidsinstellingen en een school. En dit zijn enkel de slachtoffers die in de pers verschenen.

Het Amerikaanse ministerie van Justitie zegt dat de mannen "de bankovervallers zijn in de cyberwereld", die ransomware-aanvallen uitvoeren of accounts hacken om geld te stelen.

De aankondiging maakte Maksim Yakubets, toen nog maar 32, een uithangbord voor de Russische playboy-hacker.

Op beelden van de bende, verkregen door de Britse National Crime Agency, was te zien hoe de mannen in aangepaste Lamborghini's reden, lachend met stapels contant geld en spelend met een leeuwenwelp als huisdier.

De aanklacht van de FBI tegen de twee mannen was het resultaat van jarenlang werk, waaronder interviews met voormalige bendeleden en het gebruik van cyberforensisch onderzoek. Sommige informatie gaat terug tot 2010, toen de Russische politie nog bereid was om samen te werken met hun Amerikaanse collega's. Die dagen zijn nu al lang voorbij. De Russische regering wuift routinematig Amerikaanse beschuldigingen van hacking tegen haar burgers weg. In feite mogen de hackers niet alleen doorgaan, ze worden ook gerekruteerd door de beveiligingsdiensten.

Start Onderzoek BBC

Maksim Yakubets

Ons onderzoek naar Maksim Yakubets begon op een onwaarschijnlijke plaats - een golfbaan ongeveer twee uur buiten Moskou. Dit was de locatie voor zijn spectaculaire bruiloft in 2017, waarvan een video werd opgemerkt door Radio Free Europe/Radio Liberty en veel werd gedeeld. Het is veelzeggend dat Yakubets gezicht nooit wordt getoond in de beelden, gefilmd door een productiebedrijf voor trouwvideo's, maar hij kan worden gezien terwijl hij danst op livemuziek uitgevoerd door een beroemde Russische zanger onder een prachtige lichtshow.

Weddingplanner Natalia zou niet ingaan op details over de grote dag van Yakubets, maar liet ons enkele van de belangrijkste locaties zien, waaronder een gebouw met pilaren dat uit de heuvels bij een meer is uitgehouwen. 'Het is onze exclusieve kamer,' zei ze. "De pasgetrouwden komen graag naar binnen voor fotoshoots en romantiek." Terwijl we werden rondgereden door een golfkar, ging ik wat rekenen met de getallen die ze ons vertelde. Zou deze grootse bruiloft aanzienlijk meer hebben gekost dan de schattingen die ik eerder had gehoord van ongeveer $ 250.000. Het prijskaartje was potentieel dichter bij een half miljoen dollar, of zelfs $ 600.000. We weten niet hoe de speciale dag werd betaald, maar als Yakubets de rekening ophaalde, is dat een indicatie van hoe uitbundig zijn levensstijl is.

Igor Turashev

Evenmin houdt Igor Turashev (40) zich onopvallend. Met behulp van openbare registers vond mijn collega Andrey Zakharov, BBC Russia's Cyber ​​Reporter, drie bedrijven die op zijn naam stonden. Ze hebben allemaal kantoren in de prestigieuze Federation Tower in Moskou, een glanzende wolkenkrabber in het financiële district die niet zou misstaan ​​in Manhattan of Canary Wharf in Londen.

Een verbaasde receptioniste zocht naar een telefoonnummer en ontdekte dat de kantoren er geen hadden. Ze vond wel een mobiele telefoon onder de naam van de firma en verbond ons door. We belden het en wachtten. Een nummer van Frank Sinatra speelde ongeveer vijf minuten, en toen nam eindelijk iemand op, klinkend alsof hij in een drukke straat was - echter ging die op toen we vertelden dat we journalisten waren.

Zoals Andrey uitlegde, wordt Turashev niet gezocht in Rusland, dus niemand houdt hem tegen om deze dure kantoorruimte in het stadscentrum te huren/kopen. Het kan voor hem ook handig zijn om zich tussen financiële bedrijven te bevinden, waaronder enkele die handelen in cryptocurrencies, zoals Bitcoin, die Evil Corp zou hebben verzameld van slachtoffers van ransomware-aanvallen - naar verluidt in één geval $ 10 miljoen.

Geldautomaten voor cybercriminelen

Een Bloomberg-rapport dat onderzoek van Bitcoin-analisten Chainalysis gebruikte, beweert dat de 'Federation Tower' tal van crypto-bedrijven herbergt die fungeren als "geldautomaten voor cybercriminelen".

Twee andere adressen die gelinkt waren aan Turashev hebben we proberen te benaderen en nog een andere belangrijke figuur van Evil Corp genaamd Denis Gusev, maar niemand antwoordde.

Andrey en ik hebben lang gezocht naar de werkplek van Maksim Yakubets. Vroeger was hij directeur van het veevoederbedrijf van zijn moeder, maar tegenwoordig lijkt hij geen geregistreerd bedrijf of werkgever te hebben.

Wat we wel vonden waren adressen waar hij misschien nog woonde, dus op een avond gingen we langs.

We spraken een man door een intercom terwijl we uitlegden waar we vandaan kwamen. 

"Maksim Yakubets is er niet. Hij is hier waarschijnlijk al vijftien jaar niet meer. Ik ben zijn vader," zei hij. 

Tot onze verbazing kwam Yakubets senior vervolgens de gang in en gaf ons een gepassioneerd interview van 20 minuten voor de camera, waarin hij de Amerikaanse autoriteiten boos veroordeelde voor het aanklagen van zijn zoon.

Familie in angst voor aanvallen

De Amerikaanse beloning van $ 5 miljoen voor informatie die leidt tot de arrestatie van zijn zoon (de hoogste premie ooit voor een met name genoemde cybercrimineel) had ertoe geleid dat de familie in angst voor aanvallen leefde, vertelde Yakubets, en eiste dat we zijn woorden zouden publiceren. "De Amerikanen hebben een probleem gecreëerd voor mijn familie en mensen die ons kennen. Wat was het doel? Amerikaanse gerechtigheid in Sovjetrecht? Hij werd niet ondervraagd en er zijn geen procedures die zijn schuld bewijzen." 

Hij ontkent dat zijn zoon een cybercrimineel is. Toen ik vroeg hoe hij dacht dat hij zo rijk was geworden, lachte hij en zei dat ik het prijskaartje van de bruiloft overdreef en dat de luxe auto's waren gehuurd. Het salaris van Maksim is hoger dan gemiddeld, zei hij, "hij werkt, hij wordt betaald, hij heeft een baan". Wat doet hij dan voor werk?' vroeg ik. "Waarom zou ik je dat vertellen?".

Sinds de aanklacht had de vader geen contact meer had met zijn zoon, dus kon hij ons niet met hem in contact brengen.

Groeiende lijst van Russische cybercriminelen

Yakubets en Turashev maken deel uit van de groeiende lijst van Russische cybercriminelen, terwijl het Westen worstelt om te reageren op cyberaanvallen. Er zijn meer Russische mensen en organisaties gesanctioneerd en aangeklaagd dan die van enige andere nationaliteit.

Aanklachten voorkomen dat de hackers naar het buitenland reizen, terwijl de sancties alle activa die ze in het Westen hebben bevriezen en hen verbieden zaken te doen met westerse bedrijven.

Vorig jaar begon de Europese Unie cybersancties uit te vaardigen, in de voetsporen van de VS, en het zijn vooral Russen die ook op deze lijst worden genoemd en beschaamd. De overgrote meerderheid van de personen op deze lijsten zou directe banden hebben met de Russische staat. Hacken om te spioneren, macht uit te oefenen of druk uit te oefenen.

Terwijl alle landen elkaar hacken, beweren de VS en de EU en bondgenoten dat sommige van de Russische aanvallen een grens overschrijden, in termen van wat acceptabel is.

Sommige mannen worden ervan beschuldigd wijdverbreide stroomuitval in Oekraïne te hebben veroorzaakt door elektriciteitsnetten te hacken. Anderen worden gezocht omdat ze probeerden een testfaciliteit voor chemische wapens te hacken in de nasleep van de vergiftigingen in Salisbury.

Kremlin ontkent beschuldigingen

Het Kremlin ontkent alle beschuldigingen en lacht ze routinematig weg als westerse hysterie en "Russofobie".

Omdat er geen duidelijke regels zijn voor wat acceptabel is voor hacking door een staat, hebben we in ons onderzoek bewust geconcentreerd op de personen die ervan worden beschuldigd te hacken voor eigen financieel gewin.

Werken cybersancties tegen "criminele" hackers? 

Als we met de vader van Yakubets praten, lijkt het erop dat ze enige impact hebben,  ze maakten hem in ieder geval woedend. Echter Evil Corp lijkt onaangetast te zijn. Cybersecurity-onderzoekers beweren dat de bemanning nog steeds lucratieve cyberaanvallen uitvoert op voornamelijk westerse doelen.

De "gouden regel" van Russisch hacken is volgens onderzoekers en voormalige hackers dat criminele hackers die niet in dienst zijn van de staat, kunnen hacken wie ze willen, zolang de slachtoffers zich niet in Russisch sprekende of voormalige Sovjetgebieden bevinden. De regel lijkt te werken, aangezien cybersecurity-onderzoekers al jaren minder aanvallen in die landen zien.

Ze hebben ook ontdekt dat sommige malware is ontworpen om computers met een Russisch taalsysteem te vermijden. Lilia Yapparova, een onderzoeksjournalist die werkt bij Meduza, een van de weinige onafhankelijke nieuwsorganisaties in het land, zegt dat de gouden regel nuttig is voor de inlichtingendiensten, die vervolgens de vaardigheden kunnen benutten die hackers hebben ontwikkeld terwijl ze voor zichzelf werken. "Het is waardevoller voor de FSB om hackers in Rusland in te schakelen dan om ze in de gevangenis te zetten. Een van mijn bronnen, een ex-FSB-officier, vertelde me dat hij persoonlijk probeerde enkele van de jongens van Evil Corp in te schakelen om wat te doen werk voor hem", zegt ze.

De VS beweren dat Maksim Yakubets en andere gezochte hackers - waaronder Evgeniy Bogachev, die een premie van 3 miljoen dollar heeft uitgeloofd voor zijn arrestatie - rechtstreeks voor de inlichtingendiensten hebben gewerkt. Het is misschien geen toeval dat de schoonvader van Yakubets, te zien in de trouwvideo, een voormalig hooggeplaatst lid van de FSB is. We hebben de Russische regering gevraagd commentaar te geven op het feit dat hackers vrijelijk in Rusland lijken te opereren, maar kregen geen antwoord.

Toen Vladimir Poetin deze zomer op de top van Genève met Joe Biden hierover werd gevraagd, ontkende hij dat spraakmakende aanvallen uit zijn land kwamen en beweerde hij zelfs dat de meeste cyberaanvallen in de VS begonnen. Maar hij zei dat hij met de VS zou samenwerken om "orde te brengen".

De opkomst van Evil Corp

  • 2009: Evil Corp start activiteiten en gebruikt naar verluidt malware genaamd Cridex, Dridex, Bugat of Zeus om bankaanmeldingen te stelen en geld van rekeningen te stelen
  • 2012: Leden van Evil Corp worden aangeklaagd door een rechtbank in Nebraska onder hun online naam, omdat hun identiteit onbekend is (Yakubets gaat naar verluidt onder de naam "Aqua")
  • 2017: De groepering wordt beschuldigd van het starten van een "ransomware as a service" (RaaS)-operatie - er wordt beweerd dat andere hackers betalen om hun ransomware te gebruiken, genaamd BitPaymer
  • 2019: Yakubets, Turashev en zeven anderen worden aangeklaagd, gesanctioneerd of aangewezen in de VS - een premie van $ 5 miljoen wordt aangeboden voor informatie die leidt tot de arrestatie van Yakubets
  • Sinds 2019 zou Evil Corp verschillende merken en varianten van ransomware hebben doorlopen, waaronder DoppelPaymer, Grief, WastedLocker, Hades, Phoenix en Macaw.

Verstoren en stuk maken

In de afgelopen zes maanden zijn de VS en hun bondgenoten verder gegaan dan cybersancties en zijn begonnen met een veel agressievere tactiek toe te passen.  Ze zijn gestart met het terug hacken en hebben met succes een aantal van hen offline gehaald, althans tijdelijk. REvil en DarkSide hebben op forums aangekondigd dat ze niet langer actief zijn vanwege wetshandhaving. Bij twee gelegenheden zijn hackers van de Amerikaanse overheid er zelfs in geslaagd om miljoenen dollars aan Bitcoin van slachtoffers terug te halen. Bij een internationale inspanning waarbij Europol en het Amerikaanse ministerie van Justitie zijn betrokken, zijn ook vermeende hackers gearresteerd in Zuid-Korea, Koeweit, Roemenië en Oekraïne.

Cybersecurity-onderzoekers zeggen echter dat er meer groepen opduiken en dat er elke week aanvallen plaatsvinden. Het fenomeen zal niet verdwijnen zolang hackers kunnen floreren in Rusland. Een overzicht van cyberaanvallen vind je hier en FBI's gezochte cybercriminelen hier.

Bron: anoniem, youtube.com, bloomberg.com, thesun.co.uk, bbc.com

Lees ook:

Meer info over cybercrime 》

Actuele aanvallen overzicht per dag 》

Tips of verdachte activiteiten gezien? Meld het hier.

Cybercrime gerelateerde berichten

Neem de controle terug over je privacy zoek met DuckDuckGo!

Online anoniem blijven: het is niet makkelijk. Veel websites gebruiken je online activiteit nu eenmaal om hun producten en diensten aan je te verkopen. De meest voor de hand liggende voorbeelden zijn natuurlijk Facebook en Google, maar daarnaast zijn er talloze andere bedrijven die je online geschiedenis gebruiken om zichzelf te promoten.

Lees meer »

Cybercriminelen werken steeds vaker samen om mkb’ers te raken

Cybercriminaliteit wordt in toenemende mate geoptimaliseerd om het lokale midden- en kleinbedrijf (mkb) te targeten. Dit blijkt uit het nieuwe BlackBerry Threat Report 2022 van BlackBerry Limited. In dit rapport worden de ontwikkelingen binnen cybercriminaliteit onder de aandacht gebracht. Het Threat Report laat daarnaast zien dat een aantal beruchte ransomware-aanvallen van vorig jaar mogelijk uitbesteed waren.

Lees meer »

Inwoners praten elkaar bij over digitale weerbaarheid

Het slachtofferschap van online criminaliteit neemt toe, de schade groeit en de weerbaarheid blijft achter. Met het project Digitaal Veilig in de Wijk, zet Den Haag vrijwilligers in om slachtofferschap onder inwoners tegen te gaan. “Het zou fantastisch zijn als we niet alleen een netwerk hebben binnen de stad, maar ook tussen de steden.”

Lees meer »

Nieuw waarschuwingssysteem voor cyberdreigingen van start

Nederlandse bedrijven en organisaties kunnen sinds gisteren een beroep doen op het 'Nederlands Security Meldpunt'. Dit is een nieuw waarschuwingssysteem voor cyberdreigingen dat ontwikkeld is door het bedrijfsleven. Met het meldpunt willen de initiatiefnemers de kwetsbaarheid van Nederlandse bedrijven verminderen en cybersecurity versterken.

Lees meer »

"Waarschuwing Nederlandse bedrijven in de vitale sector"

De cyberaanval op de Duitse tak van Shell, moet een waarschuwing zijn voor Nederlandse bedrijven in de vitale sector. We mogen niet denken dat we in ons land alles voor elkaar hebben op het gebied van cybersecurity. Nederlandse bedrijven die actief zijn in de essentiële sector moeten weerbaarder worden gemaakt tegen digitale dreigingen.

Lees meer »

Insider threats met 34% gestegen in 2021

Een freelancer die per ongeluk een mailtje met gevoelige informatie naar de verkeerde persoon stuurt, een ontslagen werknemer die uit wraak belangrijke informatie doorspeelt aan een concurrent, of een cybercrimineel die toegang verkrijgt tot het e-mailaccount van iemand van de financiële afdeling. Dit zijn alle drie vormen van insider threats die grote schade kunnen betekenen voor de betrokken organisaties. Hoe groot die schade is, blijkt uit nieuw onderzoek van Proofpoint.

Lees meer »