# Dridex Campaigns 2015-2020 > [!danger] Evil Corp e o trojan bancario mais lucrativo da decada de 2010 > As **Dridex Campaigns** foram uma serie de operações de fraude bancaria conduzidas pelo grupo russo **Evil Corp (INDRIK SPIDER)** entre 2014 e 2020. O Dridex - evolução do Bugat/Cridex - foi o trojan bancario mais bem-sucedido do período, causando prejuizos estimados em mais de **100 milhões de dólares** em instituicoes financeiras nos EUA, Reino Unido e Europa. ## Visão Geral As Dridex Campaigns representam um dos mais bem documentados e duradouros programas de fraude bancaria cibernetica já registrados. O malware [[s0384-dridex|Dridex]] - também conhecido como Bugat v5 ou Cridex v2 - foi desenvolvido e operado pelo grupo [[g0119-indrik-spider|Evil Corp]], liderado por Maksim Yakubets e Igor Turashev, ambos indiciados pelo Departamento de Justica dos EUA em dezembro de 2019. O Dridex evoluiu significativamente entre 2014 e 2020: a versao inicial utilizava uma botnet peer-to-peer (P2P) baseada no protocolo Necurs para distribuição de spam, tornando-a extremamente resiliente a takedowns. O malware se especializava em web injection - modificando paginas de internet banking em tempo real no browser da vitima para roubar credenciais e realizar transferencias fraudulentas sem o conhecimento do usuario. As campanhas de distribuição seguiam um padrao sazonal: picos de atividade eram registrados em períodos de maior volume de transações bancarias (inicio de ano, fim de mes, períodos de declaracao de imposto de renda). Emails de phishing imitando notificacoes de bancos, faturas de empresas de energia e comúnicados governamentais eram usados como lure para induzir vitimas a abrir documentos do Office com macros maliciosas. O impacto financeiro foi significativo: em 2015, o grupo roubou mais de 20 milhões de libras esterlinas de bancos britanicos e 10 milhões de dólares de instituicoes americanas. A operação culminou com a implantação dos ransomwares [[bitpaymer|BitPaymer]] e [[doppelpaymer|DoppelPaymer]] a partir de 2017, elevando o Evil Corp de um grupo de fraude bancaria para um grupo de ameaça de espectro completo. ## Evolução das Campanhas ```mermaid timeline 2014 : Dridex v1 : Evolução do Bugat/Cridex : Botnet P2P via Necurs 2015 : Pico de fraude bancaria : 20M GBP roubados no Reino Unido : 10M USD roubados nos EUA 2016 : Operacoes continuadas : Expansao para Alemanha e Australia : Distribuição massiva via Necurs botnet 2017 : Diversificacao para ransomware : BitPaymer implantado em alvos corporativos : Parceria eventual com TA505 2019 : Indiciamento do Evil Corp : DoJ indincia Yakubets e Turashev : Reducao de atividade Dridex 2020 : Transicao para DoppelPaymer : Abandono gradual do Dridex : Foco em ransomware de alto valor ``` ## Cadeia de Infecção ```mermaid graph TB A["Distribuição em massa<br/>Emails phishing via botnet Necurs<br/>Milhoes de emails por campanha"] --> B["Documento Office malicioso<br/>Excel ou Word com macro VBA<br/>Tema: fatura, notificação bancaria"] B --> C["Execução da macro<br/>Usuario habilita macros<br/>Download do loader Dridex"] C --> D["Injecao em processo do sistema<br/>Dridex injeta em svchost.exe<br/>ou explorer.exe para persistência"] D --> E["Web injection ativo<br/>Modifica paginas de internet banking<br/>em tempo real no browser"] E --> F["Roubo de credenciais<br/>Captura dados de login, OTPs<br/>e informacoes de conta"] F --> G["Transferencia fraudulenta<br/>Desvio silencioso de fundos<br/>para contas de money mules"] ``` ## Técnicas Utilizadas (MITRE ATT&CK) - [[t1566-phishing|T1566 - Phishing]] - Distribuição massiva de emails com documentos Office maliciosos como vetor inicial - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - Macros VBA em documentos Word/Excel para execução do loader - [[t1055-process-injection|T1055 - Process Injection]] - Injecao em processos legitimos (svchost, explorer) para persistência e evasão - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/HTTPS com comunicação encriptada - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - BitPaymer e DoppelPaymer implantados em alvos corporativos via Dridex - [[t1021-remote-services|T1021 - Remote Services]] - Uso de RDP e SMB para movimento lateral em redes corporativas - [[t1056-input-capture|T1056 - Input Capture]] - Keylogging e captura de formularios para roubo de credenciais bancarias - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - Web injection para modificar sessoes de internet banking em tempo real ## Software Utilizado - [[s0384-dridex]] - Trojan bancario principal, com capacidades de web injection, keylogging e P2P botnet - [[bitpaymer]] - Ransomware implantado em redes corporativas comprometidas via Dridex (a partir de 2017) - [[doppelpaymer]] - Ransomware sucessor do BitPaymer, usado em ataques de alto valor (a partir de 2019) ## Impacto As Dridex Campaigns causaram perdas financeiras diretas historicas: - **20 milhões de libras esterlinas** roubados de bancos britanicos em 2015 - **10 milhões de dólares** roubados de instituicoes financeiras americanas em 2015 - Estimativa total de danos: mais de **100 milhões de dólares** ao longo de 2014-2020 - Expansao para Alemanha, Italia, Franca e Australia em campanhas subsequentes - A transicao para ransomware (BitPaymer/DoppelPaymer) multiplicou o modelo de monetização - O grupo Evil Corp foi sancionado pelo OFAC (EUA) em dezembro 2019, tornando o pagamento de resgates a eles potencialmente ilegal para empresas americanas ## Relevância LATAM/Brasil Embora o Dridex sejá clássicamente associado a Europa e EUA, ha lições relevantes para o contexto brasileiro: - O modelo de web injection do Dridex e analogo ao usado por trojans bancarios brasileiros como [[s0531-grandoreiro]] e [[gopix]], demonstrando que a técnica e universalmente aplicavel a qualquer sistema de internet banking - Grupos de cibercrime russas com conexoes ao Evil Corp/TA505 distribuiram Dridex em campanas globais que incluiam Brasil como alvo secundario - A transicao do Evil Corp para ransomware de alto valor (DoppelPaymer) impactou empresas com operações no Brasil que eram clientes de organizacoes americanas e europeias comprometidas - O modelo operacional do Evil Corp - fraud-as-a-service com parceiros regionais - pode ser replicado com atores locais no ecossistema de cibercrime brasileiro - O [[financial|setor financeiro]] brasileiro deve usar as IOCs e TTPs do Dridex para calibrar regras de detecção de trojans bancarios similares ## Detecção e Defesa **Deteccoes recomendadas:** - Monitorar execução de macros VBA em documentos Office recebidos por email - Detectar injecao em svchost.exe ou explorer.exe por processos de usuario nao-privilegiados - Alertar sobre modificacao de módulos de browser por processos externos (web injection) - Network: detectar comunicação encriptada periodica (beaconing) para IPs de baixa reputacao - Email gateway: bloquear documentos Office com macros em emails de remetentes externos **Mitigacoes:** - Desabilitar macros VBA por padrao em Microsoft Office via Group Policy (GPO) - Usar email gateway com sandbox para detonacao de documentos suspeitos antes da entrega - Implementar autenticação multifator (MFA) em todos os sistemas de internet banking corporativos - Monitorar e alertar sobre transferencias bancarias incomuns (hora, valor, beneficiario) - Habilitar ASR (Attack Surface Reduction) rules no Windows Defender para bloquear macros Office maliciosas **Mitigacoes MITRE:** [[m1049-antivirus-antimalware|M1049]] · [[m1031-network-intrusion-prevention|M1031]] · [[m1017-user-training|M1017]] ## Referências - [1](https://www.justice.gov/opa/pr/two-evil-corp-members-indicted) US DoJ - Evil Corp Members Indicted: Yakubets and Turashev (2019) - [2](https://attack.mitre.org/software/S0107/) MITRE ATT&CK - Dridex S0107 (2023) - [3](https://www.secureworks.com/research/dridex-bugat-v5-botnet-takeover-operation) SecureWorks - Dridex/Bugat v5 Botnet Takeover (2015) - [4](https://www.us-cert.gov/ncas/alerts/aa19-339a) CISA - Dridex Malware Alert AA19-339A (2019) - [5](https://www.crowdstrike.com/blog/indrik-spider-supersized-dridex-and-bitpaymer-campaigns/) CrowdStrike - INDRIK SPIDER: Dridex and BitPaymer (2018)