"Evil Corp" es una denominación genérica atribuida a un grupo cibercriminal notorio que ha operado bajo diversos nombres y manifestaciones. Uno de los casos más destacados de su operación tuvo lugar en 2019 cuando las autoridades de Estados Unidos y Reino Unido acusaron a los supuestos líderes del grupo, con una recompensa notable por información que condujera a su arresto.
El grupo conocido popularmente como "Evil Corp" tiene una trayectoria dilatada en el ámbito del cibercrimen, con sus orígenes remontándose a circa 2007. Sin embargo, sus actividades más infames y devastadoras se registraron en 2019, cuando se les vinculó con el desarrollo y distribución de Dridex y BitPaymer.
La estrategia de infección del grupo incluido el uso combinado de phishing, exploits, y técnicas avanzadas de persistencia para comprometer a sus víctimas. Aquí se detallan los pasos más comunes en su modus operandi:
Phishing y Emails Maliciosos: Las campañas de phishing masivas eran el punto de entrada más común. Emails diseñados para parecer comunicaciones legítimas, como facturas o notificaciones de entrega, contenían archivos adjuntos maliciosos o enlaces a sitios web comprometidos.
Exploits y Kits de Explotación: En algunos casos, los emails contenían enlaces a sitios web maliciosos que explotaban vulnerabilidades en el navegador o en el sistema operativo para descargar e instalar el malware sin intervención del usuario.
Macro en Documentos: Archivos adjuntos en formato de documento, como Word o Excel, que contenían macros maliciosos. Al habilitar estas macros, el malware comenzaba su fase de infección.
Descarga de Cargas Útiles Adicionales: Tras la inicial infección, generalmente se descargaban otros componentes maliciosos como loaders y cifradores para maximizar su impacto.
Robo de Credenciales: Dridex era particularmente eficaz en la captura de credenciales bancarias, lo que permitió a los operadores acceder a cuentas bancarias y realizar transferencias fraudulentas.
Cifrado de Datos: BitPaymer, al ser activado, cifraba los datos críticos del sistema infectado, bloqueando el acceso a los mismos y dejando una nota de rescate demandando una cuantiosa suma en criptomonedas.
Interrupción Operativa: Las instituciones financieras y las empresas víctimas vieron interrumpidas sus operaciones debido a la encriptación masiva de sus datos y a la pérdida de acceso a sistemas esenciales.
Las acciones recomendadas para protegerse contra las amenazas asociadas a Evil Corp incluyen:
Actualización y Parcheo Regular: Mantener el software, incluyendo los sistemas operativos y aplicaciones, actualizado para evitar exploits de vulnerabilidades conocidas.
Educación y Concienciación: La formación continua de los empleados para reconocer y evitar phishing es crucial.
Uso de Sistemas de Detección y Respuesta: Implementación de soluciones EDR (Endpoint Detection and Response) que pueden identificar comportamientos anómalos y detener la actividad maliciosa en su etapa inicial.
Backups Regulares: Realizar y mantener copias de seguridad periódicas que permitan la recuperación de datos sin tener que sucumbir al chantaje del ransomware.
En conclusión, "Evil Corp" ha mostrado una capacidad adaptativa notable y un enfoque multifacético en sus operaciones cibercriminales, lo que subraya la necesidad de enfoques integrales y multilayered en ciberseguridad para mitigar y prevenir tales amenazas.