Vào ngày 1 tháng 10 năm 2024, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ, Văn phòng Phát triển và Khối thịnh vượng chung (FCDO) của Vương quốc Anh và Bộ Ngoại giao và Thương mại (DFAT) của Úc đồng thời chỉ định các thành viên của Evil Corp, một tổ chức tội phạm mạng có trụ sở tại Nga chịu trách nhiệm phát triển và phân phối phần mềm độc hại Dridex. Bộ Tư pháp Hoa Kỳ cũng đã công bố một bản cáo trạng buộc tội một thành viên của Evil Corp liên quan đến việc sử dụng Mã độc tống tiền BitPaymer nhắm vào các nạn nhân tại Hoa Kỳ.
Evil Corp nổi bật không chỉ vì quy mô của tội phạm mạng - phần mềm độc hại của nhóm này đã lây nhiễm vào máy tính và thu thập thông tin đăng nhập, dẫn đến vụ trộm hơn 100 triệu đô la từ hàng trăm ngân hàng và các tổ chức tài chính khác trên toàn thế giới - mà còn vì nguồn gốc sâu xa của nhóm này trong bối cảnh tội phạm mạng ở Nga.
Dưới đây, chúng ta sẽ xem xét kỹ hơn các lệnh trừng phạt của Evil Corp, mối quan hệ của tổ chức này với nhóm tội phạm mạngLockbit và nhà nước Nga, cùng nhiều thông tin khác.
Sự gián đoạn toàn cầu của Evil Corp
Các chỉ định chung vào tháng 10 năm 2024 bổ sung cho chỉ định OFAC năm 2019 nhắm vào nhà lãnh đạo sáng lập của Evil Corp, Maksim Yakubets , và hơn một chục thành viên, người hỗ trợ và công ty liên kết với nhóm, bao gồm cả quản trị viên Evil Corp phụ trách Dridex, Igor Turashev và chuyên gia hỗ trợ tài chính của Evil Corp, Denis Gusev.
Tại Vương quốc Anh, FCDO đã chỉ định 16 cá nhân, bao gồm Maksim Yakubets và bảy cá nhân của Evil Corp do OFAC chỉ định vào năm 2019. Một trong những cá nhân bị trừng phạt vào năm 2019 là Aleksandr Viktorovich Ryzhenkov, người đã làm việc chặt chẽ với Yakubets để phát triển một số chủng Mã độc tống tiền hiệu quả nhất của Evil Corp. Đáng chú ý, Ryzhenkov cũng đã được xác định là một chi nhánh của Lockbit. Ngoài những nỗ lực của FCDO, Cơ quan Tội phạm Quốc gia (NCA) của Vương quốc Anh đã công bố "Evil Corp: Behind the Screens", một cuộc điều tra sâu rộng về nhóm này.
Tại Úc, DFAT đã trừng phạt Yakubets, Turashev và Ryzhenkov.
Cuối cùng, một số cơ quan thực thi pháp luật châu Âu đã có hành động phối hợp để phá vỡ các tác nhân Lockbit. Một nhà phát triển Lockbit bị tình nghi đã bị bắt theo yêu cầu của chính quyền Pháp; chính quyền Anh đã bắt giữ hai cá nhân vì hỗ trợ hoạt động của một chi nhánh LockBit; và các sĩ quan Tây Ban Nha đã tịch thu chín máy chủ, một phần cơ sở hạ tầng Mã độc tống tiền của Lockbit và bắt giữ một quản trị viên của một dịch vụ lưu trữ chống đạn được Lockbit sử dụng.
Mối liên hệ của Evil Corp với Lockbit
Như chúng tôi đãđề cập trước đây , hoạt động của Evil Corp và Lockbit đã chồng chéo on-chain. Cụ thể, các chủng Mã độc tống tiền được đổi tên liên quan đến Evil Corp và các cụm tiền điện tử thuộc Lockbit đã sử dụng cùng một địa chỉ tiền gửi tại các sàn giao dịch tập trung, như được hiển thị trong biểu đồ Chainalysis Reactor bên dưới.
Sự chồng chéo on-chain này phù hợp với báo cáo năm 2022 của Mandiant thảo luận về việc Evil Corp sử dụng Lockbit như một phần trong nỗ lực đổi mới thương hiệu và giảm thiểu mối liên kết với các thực thể bị trừng phạt.
Mối quan hệ gia đình bền chặt, nội bộ và với các cơ quan an ninh
Một khía cạnh cốt lõi trong hoạt động của Evil Corp là nhiều thành viên trong cùng gia đình dường như có liên quan đến các hoạt động của tổ chức này. Ví dụ, Bộ Treasury Hoa Kỳ đã lưu ý trong chỉ định ban đầu năm 2019 rằng Maksim Yakubets đã làm việc cho Cơ quan An ninh Liên bang Nga (FSB) và tính đến năm 2018, đang trong quá trình xin giấy phép làm việc với thông tin mật của Nga từ FSB. Eduard Benderskiy — bố vợ của Yakubets và là cựu sĩ quan Spetsnaz (Lực lượng đặc biệt) của FSB — cũng đã được Treasury Hoa Kỳ chỉ định vào ngày 1 tháng 10 năm 2024.
Theo chỉ định, Benderskiy là người chủ chốt tạo điều kiện cho mối quan hệ của Evil Corp với nhà nước Nga, tận dụng địa vị và các mối quan hệ của mình để điều phối các hoạt động giữa Evil Corp và các quan chức tình báo Nga. Ngoài ra, Viktor, cha của Maksim, đã được Treasury, FCDO và DFAT chỉ định vào ngày 1 tháng 10 năm 2024, và Artem Yakubets — có khả năng là anh trai của Maksim, có tên đệm giống hệt nhau (Viktorovich) và nơi sinh (Polonnoye, Ukraine) — cũng được chỉ định vào năm 2019 vì là thành viên cốt cán của Evil Corp và cung cấp hỗ trợ vật chất cho nhóm.
Ngoài những mối liên hệ này, Sergey Ryzhenkov — người được OFAC, FCDO và DFAT chỉ định — có thể có quan hệ họ hàng với cánh tay phải của Yakubets là Aleksandr Ryzhenkov, vì họ có tên đệm giống nhau.
Phối hợp toàn cầu để tiêu diệt tội phạm mạng có trụ sở tại Nga
Các hành động trên là một phần của chiến dịch lớn hơn gồm các hành động phối hợp, đa phương nhằm phá vỡ tội phạm mạng có trụ sở tại Nga, nhiều người trong số họ sử dụng tiền điện tử để tiến hành các hoạt động bất hợp pháp của mình. Các ví dụ gần đây khác về điều này bao gồm việc Cảnh sát Hình sự Liên bang Đức (BKA) phá hủy 47 sàn giao dịch không KYC của Nga và OFAC chỉ định Sàn giao dịch Cryptex và Gian lận UAPS của Nga, phối hợp với việc phá hủy các dịch vụ này của cơ quan thực thi pháp luật Hà Lan và Hoa Kỳ.
Như William Lyne, Trưởng phòng Tình báo mạng tại NCA đã tuyên bố, “Evil Corp là lời nhắc nhở rõ ràng về cách tội phạm mạng liên tục phát triển chiến thuật của chúng. Khi Evil Corp chuyển sang sử dụng Mã độc tống tiền, tiền điện tử đã trở thành một yếu tố quan trọng trong mô hình kinh doanh của chúng. Tuy nhiên, với dữ liệu thu được từ nhóm LockBit, NCA đã có thể sử dụng một loạt các công cụ và khả năng để theo dõi và xác định các chi nhánh, bao gồm cả một thành viên của Evil Corp. Điều này bao gồm việc khai thác tính minh bạch và Truy vết nguồn gốc vốn có trong chuỗi khối. Hoạt động được thực hiện vào ngày 1 tháng 10 cho thấy sức mạnh của quan hệ đối tác và sự hợp tác trong việc phá vỡ các tác nhân đe dọa chịu trách nhiệm gây hại cho Vương quốc Anh và các đồng minh của chúng tôi.”
Những chỉ định này cùng với các vụ bắt giữ và tịch thu liên quan trên khắp Hoa Kỳ, Vương quốc Anh và Úc có khả năng sẽ tạo ra các cuộc theo dõi liên quan đến các vụ gián đoạn và truy tố bổ sung. Chúng tôi sẽ tiếp tục cung cấp thông tin cập nhật về những tên tội phạm mạng này và các thực thể liên quan khi có sẵn.
Trang web này chứa các liên kết đến các trang web của bên thứ ba không nằm trong quyền kiểm soát của Chainalysis, Inc. hoặc các chi nhánh của công ty (gọi chung là “Chainalysis”). Việc truy cập vào thông tin đó không ngụ ý sự liên kết, xác nhận, chấp thuận hoặc khuyến nghị của Chainalysis đối với trang web hoặc các nhà điều hành của trang web đó và Chainalysis không chịu trách nhiệm về các sản phẩm, dịch vụ hoặc nội dung khác được lưu trữ trong đó.
Tài liệu này chỉ nhằm mục đích cung cấp thông tin và không nhằm mục đích cung cấp tư vấn pháp lý, thuế, tài chính hoặc đầu tư. Người nhận nên tham khảo ý kiến cố vấn của riêng mình trước khi đưa ra những quyết định như vậy. Chainalysis không chịu trách nhiệm hoặc nghĩa vụ pháp lý đối với bất kỳ quyết định nào được đưa ra hoặc bất kỳ hành vi hoặc thiếu sót nào khác liên quan đến việc Người nhận sử dụng tài liệu này.
Chainalysis không đảm bảo hoặc bảo hành tính chính xác, đầy đủ, kịp thời, phù hợp hoặc hợp lệ của thông tin trong báo cáo này và sẽ không chịu trách nhiệm cho bất kỳ khiếu nại nào do lỗi, thiếu sót hoặc sự không chính xác khác của bất kỳ phần nào trong tài liệu đó.
Bài đăng OFAC chỉ định tổ chức tội phạm mạng có trụ sở tại Nga, Evil Corp, trong nỗ lực chung với FCDO của Anh và DFAT của Úc xuất hiện đầu tiên trên Chainalysis .
