2024 年 10 月 1 日,美國財政部外國資產控制辦公室(OFAC)、 英國外交和聯邦事務及發展辦公室(FCDO) 和澳大利亞外交和貿易部(DFAT) 同時指定了 Evil Corp 的成員,該組織是一個俄羅斯網絡犯罪集團,負責開發和分發 Dridex 惡意軟件。美國司法部還公佈了一份起訴書,指控一名 Evil Corp 成員使用 BitPaymer 勒索軟件針對美國受害者。
Evil Corp 不僅因為其網絡犯罪的規模而引人注目——其惡意軟件感染了計算機並竊取登錄憑證,導致全球數百家銀行和其他金融機構被盜超過 1 億美元——還因為其在俄羅斯網絡犯罪領域的深厚根基。
下面,我們將仔細研究 Evil Corp 的制裁、其與網絡犯罪組織Lockbit和俄羅斯政府的關係等。
邪惡公司擾亂全球秩序
2024 年 10 月的聯合指定是對2019 年 OFAC 指定的補充,該指定針對 Evil Corp 的創始領導人Maksim Yakubets以及十多名與該組織有關的成員、推動者和公司,包括負責 Dridex 的 Evil Corp 管理員 Igor Turashev 和 Evil Corp 財務推動者 Denis Gusev。
在英國,FCDO 指定了16 人,包括 Maksim Yakubets 和 2019 年 OFAC 指定的七名 Evil Corp 人員。2019 年受到制裁的個人之一是 Aleksandr Viktorovich Ryzhenkov,他與 Yakubets 密切合作,開發了 Evil Corp 一些最活躍的勒索軟件。值得注意的是,Ryzhenkov 還被確定為 Lockbit 的附屬機構。除了 FCDO 的努力外,英國國家犯罪局 (NCA) 還發布了“Evil Corp:幕後”報告,對該組織進行了廣泛調查。
在澳大利亞,外交部對雅庫貝茨、圖拉舍夫和雷任科夫進行了制裁。
最後, 歐洲幾家執法機構採取協調行動,打擊 Lockbit 參與者。應法國當局的要求,一名疑似 Lockbit 開發人員被捕;英國當局逮捕了兩名支持 LockBit 關聯公司活動的個人;西班牙官員查獲了九臺服務器,這是 Lockbit 勒索軟件基礎設施的一部分,並逮捕了 Lockbit 使用的防彈託管服務的管理員。
Evil Corp 與 Lockbit 的聯繫
正如我們之前所報道的,Evil Corp 和 Lockbit 的活動在鏈上重疊。具體來說,與 Evil Corp 相關的重新命名的勒索軟件毒株和屬於 Lockbit 的加密貨幣集群在中心化交易所使用了相同的存款地址,如下面的Chainalysis Reactor圖所示。
這種鏈上重疊與2022 年 Mandiant 的一份報告一致,該報告討論了 Evil Corp 使用 Lockbit 作為其重塑品牌和儘量減少與受制裁實體的聯繫的努力的一部分。
牢固的家庭關係,包括內部關係以及與安全部門的關係
Evil Corp 運營的一個核心方面是,許多同家族成員似乎都參與了其活動。例如,美國財政部在其2019 年的最初指定中指出,Maksim Yakubets 曾為俄羅斯聯邦安全局 (FSB) 工作,並且自 2018 年起,他正在從 FSB 獲得處理俄羅斯機密信息的許可。Yakubets 的岳父、前 FSB Spetsnaz(特種部隊)軍官 Eduard Benderskiy 也於 2024 年 10 月 1 日被美國財政部指定。
根據指定,本德斯基是邪惡公司與俄羅斯政府關係的關鍵推動者,他利用自己的地位和人脈來協調邪惡公司與俄羅斯情報官員之間的活動。此外,馬克西姆的父親維克多於 2024 年 10 月 1 日被財政部、FCDO 和 DFAT 指定,而阿爾喬姆·雅庫貝茨(可能是馬克西姆的兄弟,因為他們的中間名(維克多羅維奇)和出生地(烏克蘭波隆諾耶)相同)也在 2019 年被指定,因為他是邪惡公司的核心成員併為該組織提供物質援助。
除了這些關係之外,被 OFAC、FCDO 和 DFAT 指定的 Sergey Ryzhenkov 很可能與 Yakubets 的得力助手 Aleksandr Ryzhenkov 有親戚關係,因為他們有共同的中間名。
全球協作打擊俄羅斯網絡犯罪分子
上述行動是協調多邊行動的一部分,旨在打擊俄羅斯的網絡犯罪分子,其中許多人使用加密貨幣進行非法活動。其他近期的例子包括德國聯邦刑事警察局 (BKA) 取締了 47 家俄羅斯無 KYC 交易所, OFAC 指定了俄羅斯交易所 Cryptex 和欺詐商店服務商 UAPS,並與荷蘭和美國執法部門協調取締這些服務。
正如 NCA 網絡情報主管 William Lyne 所說,“Evil Corp 清楚地提醒我們,網絡犯罪分子如何不斷改進他們的策略。隨著 Evil Corp 轉向使用勒索軟件,加密貨幣成為其商業模式的重要組成部分。然而,利用從 LockBit 組織獲得的數據,NCA 能夠使用一系列工具和功能來跟蹤和歸因關聯組織,包括 Evil Corp 成員。這包括利用區塊鏈固有的透明度和可追溯性。10 月 1 日開展的活動展示了夥伴關係和協作在打擊危害英國和我們盟友的威脅行為者方面的力量。”
這些指定以及在美國、英國和澳大利亞的逮捕和扣押行動可能會引發與更多破壞和起訴相關的後續行動。我們將繼續提供有關這些網絡罪犯和相關實體的最新信息。
本網站包含指向不受 Chainalysis, Inc. 或其關聯公司(統稱“Chainalysis”)控制的第三方網站的鏈接。訪問此類信息並不意味著 Chainalysis 與該網站或其運營商有關聯、認可、批准或推薦,並且 Chainalysis 不對其中託管的產品、服務或其他內容負責。
本材料僅供參考,不旨在提供法律、稅務、財務或投資建議。收件人在做出此類決定之前應諮詢自己的顧問。Chainalysis 對收件人使用本材料時做出的任何決定或任何其他行為或疏忽不承擔任何責任。
Chainalysis 不保證或擔保本報告中信息的準確性、完整性、及時性、適用性或有效性,並且不對因該材料任何部分的錯誤、遺漏或其他不準確之處而導致的任何索賠負責。
《OFAC 與英國金融行為監管局和澳大利亞外交貿易部聯合認定俄羅斯網絡犯罪集團 Evil Corp 存在關聯》一文最先出現在Chainalysis上。
