Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

CrowdStrike e NCA Fermano INDRIK SPIDER: Incriminato il Leader del Gruppo RaaS

Redazione RHC : 7 Novembre 2024 07:11

Di Adam Meyers, Head of Counter Adversary Operations CrowdStrike

CrowdStrike collabora spesso con le agenzie di sicurezza per identificare, tracciare e fermare le minacce informatiche. Di recente, abbiamo collaborato con partner delle forze dell’ordine all’interno della National Crime Agency del Regno Unito con l’obiettivo di fermare l’azione fraudolenta di un membro senior di INDRIK SPIDER, affiliato anche all’operazione di ransomware-as-a-service (RaaS) di LockBit di BITWISE SPIDER.

CrowdStrike ha fornito informazioni di threat intelligence sugli avversari e sulle loro motivazioni, affinché potessero essere presi provvedimenti. Di seguito approfondiamo i dettagli e forniamo un’analisi approfondita sugli attori delle minacce coinvolti nell’operazione.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


A partire dal 1° ottobre 2024 una coalizione internazionale delle forze dell’ordine guidata dalla National Crime Agency (NCA) del Regno Unito ha rilanciato online il sito di fuga di dati (DLS) dedicato a LockBit di BITWISE SPIDER con nove sezioni che documentano recenti arresti, nuove scoperte e altre attività delle forze dell’ordine. La coalizione ha annunciato una nuova incriminazione contro Aleksandr Ryzhenkov (alias Beverley, Corbyn_Dallas, G, Guester, Kotosel), un affiliato di LockBit RaaS di BITWISE SPIDER e membro senior di INDRIK SPIDER.

La coalizione ha anche annunciato nuove sanzioni contro membri di INDRIK SPIDER già identificati e contro un ex ufficiale del Servizio di Sicurezza Federale della Russia (FSB), accusato di aver aiutato il gruppo. Le forze dell’ordine hanno dichiarato che prima del 2019 i servizi di intelligence russi avevano incaricato INDRIK SPIDER di condurre operazioni informatiche offensive non specificate contro i paesi membri della NATO, rafforzando così valutazioni precedenti riguardo al probabile utilizzo da parte della Russia di criminali informatici per sostenere operazioni statali.

Il 30 settembre 2024 il sito di fuga di dati (DLS) di BITWISE SPIDER, monitorato dalle forze dell’ordine del Regno Unito e degli Stati Uniti fin dal suo sequestro avvenuto a febbraio 2024, ha mostrato otto nuovi pop up che visualizzano un conto alla rovescia di 30 ore e uno che indicava un conto alla rovescia di circa 7 giorni e 16 ore alla chiusura del sito di LockBit. Il 1° ottobre 2024 i pop up di 30 ore hanno rivelato diversi nuovi eventi e scoperte riguardanti l’Operazione Cronos della NCA, che ha interrotto per la prima volta BITWISE SPIDER a febbraio 2024.

Alcune delle nuove scoperte riguardano l’avversario eCrime INDRIK SPIDER e il ruolo che uno dei suoi operatori, Aleksandr Ryzhenkov, ha svolto come affiliato di BITWISE SPIDER. Le scoperte dettagliano anche le sanzioni rinnovate contro i membri di INDRIK SPIDER e forniscono ulteriori informazioni sulla relazione dell’avversario con i servizi di sicurezza russi.

CrowdStrike Counter Adversary Operations monitora INDRIK SPIDER (alias Evil Corp) fin dal 2010. Durante il suo periodo di attività, l’avversario ha sviluppato il trojan bancario Dridex e diverse varianti di ransomware, tra cui BitPaymer e WastedLocker.

Incriminazione del membro di INDRIK SPIDER Aleksandr Ryzhenkov

Il 1° ottobre 2024 il Dipartimento di Giustizia degli Stati Uniti ha reso pubblica un’incriminazione contro Aleksandr Ryzhenkov, membro senior di INDRIK SPIDER almeno dal 2013, per il suo coinvolgimento nel ransomware BitPaymer di INDRIK SPIDER. Insieme a Maksim Yakubets e Igor Turashev, entrambi precedentemente incriminati dagli Stati Uniti nel 2019, Ryzhenkov era membro del gruppo di eCrime ormai defunto The Business Club, che operava con il malware GameOverZeus.

Poco dopo che le forze dell’ordine hanno smantellato GameOverZeus nel 2014, Yakubets, Turashev e Ryzhenkov hanno formato Evil Corp e sviluppato le famiglie di malware Dridex e BitPaymer.

Ryzhenkov era probabilmente responsabile delle operazioni di ransomware di INDRIK SPIDER, compreso BitPaymer. Inoltre, il fratello di Ryzhenkov, Sergey Ryzhenkov — che probabilmente si nasconde sotto il nome di Epoch — è stato anche collegato a BitPaymer. Si pensa che, operando per conto di INDRIK SPIDER, Aleksandr Ryzhenkov fosse anche un affiliato di BITWISE SPIDER, operante attraverso lo pseudonimo Beverley.

Connessioni tra BITWISE SPIDER e INDRIK SPIDER

Le nuove informazioni pubblicate sul DLS di LockBit sequestrato dalla NCA e dall’FBI hanno confermato che il membro di INDRIK SPIDER Aleksandr Ryzhenkov operava anche come affiliato di BITWISE SPIDER, sotto lo pseudonimo di Beverley. CrowdStrike Counter Adversary Operations ha osservato per la prima volta una connessione tra BITWISE SPIDER e INDRIK SPIDER già nell’ottobre 2022.

Questa attività è proseguita per tutto il 2023, quando CrowdStrike Counter Adversary Operations ha osservato INDRIK SPIDER diffondere il ransomware LockBit ad ulteriori entità e condurre probabili attività pre-ransomware.

Nel corso del 2024 INDRIK SPIDER ha ottenuto l’accesso iniziale a più entità attraverso il servizio di diffusione di malware Fake Browser Update (FBU). L’ultima volta che l’avversario è stato visto distribuire LockBit è stato durante un incidente avvenuto nel secondo trimestre del 2024.

Ex ufficiale del FSB sanzionato per i suoi legami con INDRIK SPIDER

Tra gli individui sanzionati dalla coalizione vi è Eduard Benderskiy (Bendersky), un ex ufficiale del FSB e suocero del leader di INDRIK SPIDER, Maksim Yakubets. La nota associazione di Benderskiy a INDRIK SPIDER è probabilmente iniziata con il matrimonio di Yakubets con la figlia di Benderskiy, nel 2017.

Benderskiy, che gestisce diverse società di sicurezza private e un’associazione benefica per ufficiali del FSB, mantiene stretti legami con la Russia. I ricercatori investigativi hanno direttamente collegato Benderskiy all’assassinio orchestrato dall’FSB di un dissidente ceceno in Germania nel 2019 da parte di Vadim Krasikov; questo legame rafforza ulteriormente i legami di Benderskiy con le operazioni di stato in Russia.

Secondo i rapporti delle forze dell’ordine, Benderskiy ha aiutato a facilitare ulteriori relazioni tra INDRIK SPIDER e i servizi di intelligence russi. I rapporti specificano che Benderskiy ha usato la sua influenza per proteggere il gruppo dalle autorità russe dopo le incriminazioni e sanzioni del 2019 degli Stati Uniti contro i membri di INDRIK SPIDER.

È degno di nota che i rapporti affermano anche che Maksim Yakubets abbia cercato di sviluppare relazioni con il Servizio di Intelligence Estera della Russia (SVR) e con il GRU (conosciuto anche come GU, la Direzione Principale dello Stato Maggiore delle Forze Armate della Federazione Russa). Altri membri di INDRIK SPIDER avrebbero anche “personali legami con lo Stato russo” indipendenti dalla relazione tra Benderskiy e Yakubets.

Secondo i rapporti del 2024, prima del 2019 i servizi di intelligence russi avrebbero incaricato INDRIK SPIDER di condurre “attacchi informatici e operazioni di spionaggio” contro i paesi membri della NATO. Il rapporto non ha fornito ulteriori informazioni su queste operazioni di intrusione.

Nel 2019 le autorità statunitensi hanno affermato che Yakubets aveva mantenuto una relazione con l’FSB almeno dal 2017 e che a INDRIK SPIDER era stato affidato il compito di condurre “operazioni abilitate dal cyberspazio” per conto del governo russo, in linea con le valutazioni di CrowdStrike Counter Adversary Operations riguardo l’uso da parte dell’intelligence russa di criminali informatici nazionali per supportare operazioni informatiche offensive.

Lista completa delle sanzioni e incriminazioni

L’annuncio sul LockBit DLS ha coinciso con una serie di nuove sanzioni contro i membri di INDRIK SPIDER da parte dei governi del Regno Unito, degli Stati Uniti e dell’Australia (Tabella 1).

NameIndictment Date
and Enforcing Country
Sanctioned Date
and Enforcing Country
Aleksandr RyzhenkovOctober 2024 — U.S.October 2024 — U.S., U.K., Australia
Sergey Ryzhenkov October 2024 — U.S., U.K.
Maksim YakubetsNovember 2019 — U.S.October 2024 — U.K., Australia
December 2019 — U.S.
Igor TurashevNovember 2019 — U.S.October 2024 — U.K., Australia
December 2019 — U.S.
Eduard Benderskiy October 2024 — U.S., U.K.
Viktor Yakubets October 2024 — U.S., U.K.
Beyat Ramazanov October 2024 — U.S., U.K.
Aleksey Shchetinin October 2024 — U.S., U.K.
Vadim Pogodin October 2024 — U.S., U.K.
Artem Yakubets  October 2024 — U.K. December 2019 — U.S.
Dmitry (Dima) Slobodskoy October 2024 — U.K. December 2019 — U.S.
Kirill Slobodskoy October 2024 — U.K. December 2019 — U.S.
Dmitry Smirnov October 2024 — U.K. December 2019 — U.S.
Andrey Plotnitskiy October 2024 — U.K. December 2019 — U.S.
Denis Gusev October 2024 — U.K.
December 2019 — U.S.
Ivan Tuchkov October 2024 — U.K.
December 2019 — U.S.

Table 1. Lista originale dei singoli individui sanzionati da Stati Uniti, Regno Unito e Australia

  1. https[:]//www.gov[.]uk/government/news/uk-sanctions-members-of-notorious-evil-corp-cyber-crime-gang-after-lammy-calls-out-putins-mafia-state
  2. https[:]//home.treasury[.]gov/news/press-releases/jy2623
  3. https[:]//www.justice[.]gov/opa/pr/russian-national-indicted-series-ransomware-attacks
  4. https[:]//www[.]justice[.]gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware
  5. Ryzhenkov likely also used the monikers MrAkobek, Lizardking, and j.d.m0rr1son (exact spelling of moniker may vary) and may have shared lizardking_sup with another unidentified threat actor.
  6. https[:]//www[.]bellingcat[.]com/news/uk-and-europe/2020/02/17/v-like-vympel-fsbs-secretive-department-v-behind-assassination-of-zelimkhan-khangoshvili/
  7. https[:]//home[.]treasury[.]gov/news/press-releases/sm845 || https[:]//www[.]nationalcrimeagency[.]gov[.]uk/who-we-are/publications/732-evil-corp-behind-the-screens/file

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...