2024 年 10 月 1 日,美国财政部外国资产控制办公室(OFAC)、 英国外交和联邦事务及发展办公室(FCDO) 和澳大利亚外交和贸易部(DFAT) 同时指定了 Evil Corp 的成员,该组织是一个俄罗斯网络犯罪集团,负责开发和分发 Dridex 恶意软件。美国司法部还公布了一份起诉书,指控一名 Evil Corp 成员使用 BitPaymer 勒索软件针对美国受害者。
Evil Corp 不仅因为其网络犯罪的规模而引人注目——其恶意软件感染了计算机并窃取登录凭证,导致全球数百家银行和其他金融机构被盗超过 1 亿美元——还因为其在俄罗斯网络犯罪领域的深厚根基。
下面,我们将仔细研究 Evil Corp 的制裁、其与网络犯罪组织Lockbit和俄罗斯政府的关系等。
邪恶公司扰乱全球秩序
2024 年 10 月的联合指定是对2019 年 OFAC 指定的补充,该指定针对 Evil Corp 的创始领导人Maksim Yakubets以及十多名与该组织有关的成员、推动者和公司,包括负责 Dridex 的 Evil Corp 管理员 Igor Turashev 和 Evil Corp 财务推动者 Denis Gusev。
在英国,FCDO 指定了16 人,包括 Maksim Yakubets 和 2019 年 OFAC 指定的七名 Evil Corp 人员。2019 年受到制裁的个人之一是 Aleksandr Viktorovich Ryzhenkov,他与 Yakubets 密切合作,开发了 Evil Corp 一些最活跃的勒索软件。值得注意的是,Ryzhenkov 还被确定为 Lockbit 的附属机构。除了 FCDO 的努力外,英国国家犯罪局 (NCA) 还发布了“Evil Corp:幕后”报告,对该组织进行了广泛调查。
在澳大利亚,外交部对雅库贝茨、图拉舍夫和雷任科夫进行了制裁。
最后, 欧洲几家执法机构采取协调行动,打击 Lockbit 参与者。应法国当局的要求,一名疑似 Lockbit 开发人员被捕;英国当局逮捕了两名支持 LockBit 关联公司活动的个人;西班牙官员查获了九台服务器,这是 Lockbit 勒索软件基础设施的一部分,并逮捕了 Lockbit 使用的防弹托管服务的管理员。
Evil Corp 与 Lockbit 的联系
正如我们之前所报道的,Evil Corp 和 Lockbit 的活动在链上重叠。具体来说,与 Evil Corp 相关的重新命名的勒索软件毒株和属于 Lockbit 的加密货币集群在中心化交易所使用了相同的存款地址,如下面的Chainalysis Reactor图所示。
这种链上重叠与2022 年 Mandiant 的一份报告一致,该报告讨论了 Evil Corp 使用 Lockbit 作为其重塑品牌和尽量减少与受制裁实体的联系的努力的一部分。
牢固的家庭关系,包括内部关系以及与安全部门的关系
Evil Corp 运营的一个核心方面是,许多同家族成员似乎都参与了其活动。例如,美国财政部在其2019 年的最初指定中指出,Maksim Yakubets 曾为俄罗斯联邦安全局 (FSB) 工作,并且自 2018 年起,他正在从 FSB 获得处理俄罗斯机密信息的许可。Yakubets 的岳父、前 FSB Spetsnaz(特种部队)军官 Eduard Benderskiy 也于 2024 年 10 月 1 日被美国财政部指定。
根据指定,本德斯基是邪恶公司与俄罗斯政府关系的关键推动者,他利用自己的地位和人脉来协调邪恶公司与俄罗斯情报官员之间的活动。此外,马克西姆的父亲维克多于 2024 年 10 月 1 日被财政部、FCDO 和 DFAT 指定,而阿尔乔姆·雅库贝茨(可能是马克西姆的兄弟,因为他们的中间名(维克多罗维奇)和出生地(乌克兰波隆诺耶)相同)也在 2019 年被指定,因为他是邪恶公司的核心成员并为该组织提供物质援助。
除了这些关系之外,被 OFAC、FCDO 和 DFAT 指定的 Sergey Ryzhenkov 很可能与 Yakubets 的得力助手 Aleksandr Ryzhenkov 有亲戚关系,因为他们有共同的中间名。
全球协作打击俄罗斯网络犯罪分子
上述行动是协调多边行动的一部分,旨在打击俄罗斯的网络犯罪分子,其中许多人使用加密货币进行非法活动。其他近期的例子包括德国联邦刑事警察局 (BKA) 取缔了 47 家俄罗斯无 KYC 交易所, OFAC 指定了俄罗斯交易所 Cryptex 和欺诈商店服务商 UAPS,并与荷兰和美国执法部门协调取缔这些服务。
正如 NCA 网络情报主管 William Lyne 所说,“Evil Corp 清楚地提醒我们,网络犯罪分子如何不断改进他们的策略。随着 Evil Corp 转向使用勒索软件,加密货币成为其商业模式的重要组成部分。然而,利用从 LockBit 组织获得的数据,NCA 能够使用一系列工具和功能来跟踪和归因关联组织,包括 Evil Corp 成员。这包括利用区块链固有的透明度和可追溯性。10 月 1 日开展的活动展示了伙伴关系和协作在打击危害英国和我们盟友的威胁行为者方面的力量。”
这些指定以及在美国、英国和澳大利亚的逮捕和扣押行动可能会引发与更多破坏和起诉相关的后续行动。我们将继续提供有关这些网络罪犯和相关实体的最新信息。
本网站包含指向不受 Chainalysis, Inc. 或其关联公司(统称“Chainalysis”)控制的第三方网站的链接。访问此类信息并不意味着 Chainalysis 与该网站或其运营商有关联、认可、批准或推荐,并且 Chainalysis 不对其中托管的产品、服务或其他内容负责。
本材料仅供参考,不旨在提供法律、税务、财务或投资建议。收件人在做出此类决定之前应咨询自己的顾问。Chainalysis 对收件人使用本材料时做出的任何决定或任何其他行为或疏忽不承担任何责任。
Chainalysis 不保证或担保本报告中信息的准确性、完整性、及时性、适用性或有效性,并且不对因该材料任何部分的错误、遗漏或其他不准确之处而导致的任何索赔负责。
《OFAC 与英国金融行为监管局和澳大利亚外交贸易部联合认定俄罗斯网络犯罪集团 Evil Corp 存在关联》一文最先出现在Chainalysis上。
