CrowdStrike e NCA Fermano INDRIK SPIDER: Incriminato il Leader del Gruppo RaaS

Redazione RHC : 7 Novembre 2024 07:11

Di Adam Meyers, Head of Counter Adversary Operations CrowdStrike

CrowdStrike collabora spesso con le agenzie di sicurezza per identificare, tracciare e fermare le minacce informatiche. Di recente, abbiamo collaborato con partner delle forze dell’ordine all’interno della National Crime Agency del Regno Unito con l’obiettivo di fermare l’azione fraudolenta di un membro senior di INDRIK SPIDER, affiliato anche all’operazione di ransomware-as-a-service (RaaS) di LockBit di BITWISE SPIDER.

CrowdStrike ha fornito informazioni di threat intelligence sugli avversari e sulle loro motivazioni, affinché potessero essere presi provvedimenti. Di seguito approfondiamo i dettagli e forniamo un’analisi approfondita sugli attori delle minacce coinvolti nell’operazione.

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

A partire dal 1° ottobre 2024 una coalizione internazionale delle forze dell’ordine guidata dalla National Crime Agency (NCA) del Regno Unito ha rilanciato online il sito di fuga di dati (DLS) dedicato a LockBit di BITWISE SPIDER con nove sezioni che documentano recenti arresti, nuove scoperte e altre attività delle forze dell’ordine. La coalizione ha annunciato una nuova incriminazione contro Aleksandr Ryzhenkov (alias Beverley, Corbyn_Dallas, G, Guester, Kotosel), un affiliato di LockBit RaaS di BITWISE SPIDER e membro senior di INDRIK SPIDER.

La coalizione ha anche annunciato nuove sanzioni contro membri di INDRIK SPIDER già identificati e contro un ex ufficiale del Servizio di Sicurezza Federale della Russia (FSB), accusato di aver aiutato il gruppo. Le forze dell’ordine hanno dichiarato che prima del 2019 i servizi di intelligence russi avevano incaricato INDRIK SPIDER di condurre operazioni informatiche offensive non specificate contro i paesi membri della NATO, rafforzando così valutazioni precedenti riguardo al probabile utilizzo da parte della Russia di criminali informatici per sostenere operazioni statali.

Il 30 settembre 2024 il sito di fuga di dati (DLS) di BITWISE SPIDER, monitorato dalle forze dell’ordine del Regno Unito e degli Stati Uniti fin dal suo sequestro avvenuto a febbraio 2024, ha mostrato otto nuovi pop up che visualizzano un conto alla rovescia di 30 ore e uno che indicava un conto alla rovescia di circa 7 giorni e 16 ore alla chiusura del sito di LockBit. Il 1° ottobre 2024 i pop up di 30 ore hanno rivelato diversi nuovi eventi e scoperte riguardanti l’Operazione Cronos della NCA, che ha interrotto per la prima volta BITWISE SPIDER a febbraio 2024.

Alcune delle nuove scoperte riguardano l’avversario eCrime INDRIK SPIDER e il ruolo che uno dei suoi operatori, Aleksandr Ryzhenkov, ha svolto come affiliato di BITWISE SPIDER. Le scoperte dettagliano anche le sanzioni rinnovate contro i membri di INDRIK SPIDER e forniscono ulteriori informazioni sulla relazione dell’avversario con i servizi di sicurezza russi.

CrowdStrike Counter Adversary Operations monitora INDRIK SPIDER (alias Evil Corp) fin dal 2010. Durante il suo periodo di attività, l’avversario ha sviluppato il trojan bancario Dridex e diverse varianti di ransomware, tra cui BitPaymer e WastedLocker.

Incriminazione del membro di INDRIK SPIDER Aleksandr Ryzhenkov

Il 1° ottobre 2024 il Dipartimento di Giustizia degli Stati Uniti ha reso pubblica un’incriminazione contro Aleksandr Ryzhenkov, membro senior di INDRIK SPIDER almeno dal 2013, per il suo coinvolgimento nel ransomware BitPaymer di INDRIK SPIDER. Insieme a Maksim Yakubets e Igor Turashev, entrambi precedentemente incriminati dagli Stati Uniti nel 2019, Ryzhenkov era membro del gruppo di eCrime ormai defunto The Business Club, che operava con il malware GameOverZeus.

Poco dopo che le forze dell’ordine hanno smantellato GameOverZeus nel 2014, Yakubets, Turashev e Ryzhenkov hanno formato Evil Corp e sviluppato le famiglie di malware Dridex e BitPaymer.

Ryzhenkov era probabilmente responsabile delle operazioni di ransomware di INDRIK SPIDER, compreso BitPaymer. Inoltre, il fratello di Ryzhenkov, Sergey Ryzhenkov — che probabilmente si nasconde sotto il nome di Epoch — è stato anche collegato a BitPaymer. Si pensa che, operando per conto di INDRIK SPIDER, Aleksandr Ryzhenkov fosse anche un affiliato di BITWISE SPIDER, operante attraverso lo pseudonimo Beverley.

Connessioni tra BITWISE SPIDER e INDRIK SPIDER

Le nuove informazioni pubblicate sul DLS di LockBit sequestrato dalla NCA e dall’FBI hanno confermato che il membro di INDRIK SPIDER Aleksandr Ryzhenkov operava anche come affiliato di BITWISE SPIDER, sotto lo pseudonimo di Beverley. CrowdStrike Counter Adversary Operations ha osservato per la prima volta una connessione tra BITWISE SPIDER e INDRIK SPIDER già nell’ottobre 2022.

Questa attività è proseguita per tutto il 2023, quando CrowdStrike Counter Adversary Operations ha osservato INDRIK SPIDER diffondere il ransomware LockBit ad ulteriori entità e condurre probabili attività pre-ransomware.

Nel corso del 2024 INDRIK SPIDER ha ottenuto l’accesso iniziale a più entità attraverso il servizio di diffusione di malware Fake Browser Update (FBU). L’ultima volta che l’avversario è stato visto distribuire LockBit è stato durante un incidente avvenuto nel secondo trimestre del 2024.

Ex ufficiale del FSB sanzionato per i suoi legami con INDRIK SPIDER

Tra gli individui sanzionati dalla coalizione vi è Eduard Benderskiy (Bendersky), un ex ufficiale del FSB e suocero del leader di INDRIK SPIDER, Maksim Yakubets. La nota associazione di Benderskiy a INDRIK SPIDER è probabilmente iniziata con il matrimonio di Yakubets con la figlia di Benderskiy, nel 2017.

Benderskiy, che gestisce diverse società di sicurezza private e un’associazione benefica per ufficiali del FSB, mantiene stretti legami con la Russia. I ricercatori investigativi hanno direttamente collegato Benderskiy all’assassinio orchestrato dall’FSB di un dissidente ceceno in Germania nel 2019 da parte di Vadim Krasikov; questo legame rafforza ulteriormente i legami di Benderskiy con le operazioni di stato in Russia.

Secondo i rapporti delle forze dell’ordine, Benderskiy ha aiutato a facilitare ulteriori relazioni tra INDRIK SPIDER e i servizi di intelligence russi. I rapporti specificano che Benderskiy ha usato la sua influenza per proteggere il gruppo dalle autorità russe dopo le incriminazioni e sanzioni del 2019 degli Stati Uniti contro i membri di INDRIK SPIDER.

È degno di nota che i rapporti affermano anche che Maksim Yakubets abbia cercato di sviluppare relazioni con il Servizio di Intelligence Estera della Russia (SVR) e con il GRU (conosciuto anche come GU, la Direzione Principale dello Stato Maggiore delle Forze Armate della Federazione Russa). Altri membri di INDRIK SPIDER avrebbero anche “personali legami con lo Stato russo” indipendenti dalla relazione tra Benderskiy e Yakubets.

Secondo i rapporti del 2024, prima del 2019 i servizi di intelligence russi avrebbero incaricato INDRIK SPIDER di condurre “attacchi informatici e operazioni di spionaggio” contro i paesi membri della NATO. Il rapporto non ha fornito ulteriori informazioni su queste operazioni di intrusione.

Nel 2019 le autorità statunitensi hanno affermato che Yakubets aveva mantenuto una relazione con l’FSB almeno dal 2017 e che a INDRIK SPIDER era stato affidato il compito di condurre “operazioni abilitate dal cyberspazio” per conto del governo russo, in linea con le valutazioni di CrowdStrike Counter Adversary Operations riguardo l’uso da parte dell’intelligence russa di criminali informatici nazionali per supportare operazioni informatiche offensive.

Lista completa delle sanzioni e incriminazioni

L’annuncio sul LockBit DLS ha coinciso con una serie di nuove sanzioni contro i membri di INDRIK SPIDER da parte dei governi del Regno Unito, degli Stati Uniti e dell’Australia (Tabella 1).

Table 1. Lista originale dei singoli individui sanzionati da Stati Uniti, Regno Unito e Australia

1. https[:]//www.gov[.]uk/government/news/uk-sanctions-members-of-notorious-evil-corp-cyber-crime-gang-after-lammy-calls-out-putins-mafia-state
2. https[:]//home.treasury[.]gov/news/press-releases/jy2623
3. https[:]//www.justice[.]gov/opa/pr/russian-national-indicted-series-ransomware-attacks
4. https[:]//www[.]justice[.]gov/opa/pr/us-leads-multi-national-action-against-gameover-zeus-botnet-and-cryptolocker-ransomware
5. Ryzhenkov likely also used the monikers MrAkobek, Lizardking, and j.d.m0rr1son (exact spelling of moniker may vary) and may have shared lizardking_sup with another unidentified threat actor.
6. https[:]//www[.]bellingcat[.]com/news/uk-and-europe/2020/02/17/v-like-vympel-fsbs-secretive-department-v-behind-assassination-of-zelimkhan-khangoshvili/
7. https[:]//home[.]treasury[.]gov/news/press-releases/sm845 || https[:]//www[.]nationalcrimeagency[.]gov[.]uk/who-we-are/publications/732-evil-corp-behind-the-screens/file

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli