- A+
美国司法部(DoJ)指控俄罗斯公民Maksim V. Yakubets和Igor Turashev部署了Dridex恶意软件(又名Bugat和Cridex),并参与了国际银行欺诈和计算机黑客计划。
Yakubets和Turashev昨日在一份起诉书中被指控共谋参与计算机入侵,电信欺诈和银行欺诈,涉及传播恶意软件以自动盗取敏感的财务和个人信息(例如银行凭证),以及在近期的攻击中使用勒索软件进行攻击。
美国司法部宣布:“国务院与联邦调查局(FBI)今天宣布,根据跨国有组织犯罪奖励计划(Transnational Organised Crime Rewards Program),悬赏五百万美元追捕Yakubets”。
Maksim Yakubets通缉海报
Igor Turashev通缉海报
自2017年以来,Yakubets一直是Evil Corp的头目。Evil Corp是总部位于俄罗斯的网络犯罪组织,开发了Dridex恶意软件,并通过大规模的网络钓鱼电子邮件活动进行传播。
美国司法部指出,他还参与了“协助俄罗斯FSB(俄罗斯领先的情报组织之一)开展工作”。
“Evil Corp使用Dridex恶意软件感染了40多个国家的数百家银行和金融机构的计算机,并获取了登录凭据,盗取了超过1亿美元。这种恶意软件已经给美国和国际金融机构及其客户造成了极大的损失。”
美国财政部补充说:“在成为Evil Corp.头目之前,Yakubets还与Evgeniy Bogachev关系密切。Evgeniy Bogachev是先前负责传播Zeus,Jabber Zeus和GameOver Zeus恶意软件的俄罗斯网络犯罪分子。”
Yakubets还被指控合谋利用Zeus恶意软件进行银行欺诈,用恶意软件感染商用计算机,然后获取获取登录网上银行帐户所需的密码、帐号和其他敏感信息,最后利用这些信息实施银行盗窃。
该Yakubets申诉,Zeus恶意软件企图窃取2.2亿美元,而银行客户实际损失为接近7000万美元。
Turashev也是Evil Corp网络犯罪组织中的重要人物,因为他参与了入侵客户计算机系统和网络的工作。自2015年以来,他一直是一名管理员,还负责Dridex恶意软件部署活动。
财政部还披露了与Evil Corp黑客组织相关的个人和公司:
Evil Corp的高级成员Denis Gusev,积极推动Evil Corp的犯罪活动。Gusev还担任六家俄罗斯公司的总经理,这些企业包括Biznes-Stolitsa,Optima,Treid-Invest,TSAO,Vertikal和Yunikom。
Dmitriy Smirnov,Artem Yakubets,Ivan Tuchkov,Andrey Plotnitskiy,Dmitriy Slobodskoy和Kirill Slobodskoy担任关键的后勤、技术和财务职位,例如管理Dridex恶意软件,监督运营者感染新用户以及从组织活动中洗钱获利。
Aleksei Bashlikov,Ruslan Zamulko,David Guberman,Carlos Alvares,Georgios Manidis,Tatiana Shevchuk,Azamat Safarov和Gulsara Burkhonova都是网络“钱骡”成员,将盗取的赃款转移至Evil Corp组织的账户中。
Benczkowski说: “据称, Maksim Yakubets参与了长达十年的网络犯罪大潮,部署了有史以来最具破坏性的两种金融恶意软件,给全世界的受害者造成了数千万美元的损失。”
NCA主管Jones补充说:“对于NCA,FBI和美国当局来说,这是一个里程碑,对于那些实施网络犯罪的人而言,这是一个沉思的日子。”
“经过多年的线上追踪,我很高兴看到Yakubets及其同伙Turashev落网。Yakubets及其同伴要对总计达数亿美元的损失和未遂损失负责。”
国土安全局昨日提醒金融机构,要注意当前通过网络钓鱼电子邮件和垃圾邮件活动传播的Dridex恶意软件产生的风险。
此外,财政部的金融犯罪执法网络(FinCEN)和网络安全与关键基础设施保护办公室(OCCIP)还发布了之前未报告的Dridex恶意软件危害指标和金融服务部门防范办法。具体如下:
默认情况下,确保系统设置为阻止执行宏。
当网络钓鱼出现时,通知并教育员工,尤其是过去黑客用于传播恶意软件的消息。
经常更新入侵检测和防御系统,以确保涵盖最新版本的恶意软件和下载器。
定期备份数据,确保备份免受潜在的勒索软件攻击。
锻炼员工对网络钓鱼消息和未经授权的入侵的响应。
如果对邮件的有效性存在疑问,请使用记录在案的电话号码或电子邮件地址与发件人联系并确认邮件。
财政部和CISA提醒用户和管理员最好使用以下办法来加强其组织系统的安全状态:
维护最新的防病毒签名和引擎。
及时更新操作系统修补程序。
禁用文件和打印机共享服务。如果需要这些服务,请使用强密码或Active Directory身份验证。
限制用户安装和运行不需要的软件应用程序的能力(权限)。若不需要,请勿将用户添加到本地管理员组。
实施严格的密码策略,并要求定期更改密码。
在打开电子邮件附件时,即使认识发件人,也请务必小心。
在工作站上启用个人防火墙,并将其配置为拒绝陌生的连接请求。
在代理工作站和服务器上禁用不必要的服务。
扫描并删除可疑的电子邮件附件;确保扫描的附件是“真实文件类型”(即扩展名与文件头匹配)。
注意用户的网络浏览习惯;限制访问内容不佳的网站。
使用可移动媒体(例如USB拇指驱动器,外部驱动器,CD)时,请务必小心。
启动之前,请扫描从互联网下载的所有软件。
保持对最新威胁的态势感知。
执行适当的访问控制列表。
维持网络安全程序和运营计划,以增强在网络事件发生期间和之后的应急响应能力。
*参考来源:BLEEPINGCOMPUTER,Sandra1432编译,转载请注明来自FreeBuf.COM