g0119-indrik-spider

# Indrik Spider (Evil Corp) ## Visão Geral **Indrik Spider** e o grupo de cibercrime russo mais prolífico e com conexoes comprovadas com os servicos de inteligência russos (FSB, SVR e GRU). Rastreado como **Evil Corp**, **Gold Drake** e **Manatee Tempest** (Microsoft), o grupo e liderado por **Maksim Yakubets** (alias "Aqua") e foi chamado pela NCA britanica de "o grupo de cibercrime mais destrutivo que já operou". O FBI oferece uma recompensa de **US$ 5 milhões** pela captura de Yakubets - a maior por um cibercriminoso na historia. Fundado em torno de 2014 após a disrupcao do GameOverZeus pelo DOJ, o grupo evoluiu de distribuidor do trojan bancario [[s0384-dridex|Dridex]] para operador de ransomware sofisticado com múltiplas familias: [[bitpaymer|BitPaymer]], [[s0612-wastedlocker|WastedLocker]], Hades e Phoenix Locker. Em 2024, membro senior Aleksandr Ryzhenkov foi indiciado e sancionado por atuar também como afiliado do [[lockbit|LockBit]] (BITWISE SPIDER). > [!danger] Conexão com Estado Russo Confirmada > Investigacoes de 2024 (NCA/FBI/AFP) confirmaram que **antes de 2019, o FSB taskeou o Evil Corp para conduzir ataques ciberneticos e operações de espionagem contra aliados da OTAN**. Eduard Benderskiy, sogro de Yakubets e ex-oficial senior do FSB (unidade Vympel), protegeu o grupo de autoridades russas após as sancoes de 2019. > [!warning] Sancoes Internacionais > Sancionado pelos EUA (OFAC, dezembro 2019), Reino Unido (16 individuos) e Australia (outubro 2024). O status de sancionado impoe obrigações complexas de compliance para qualquer empresa que pague ransom - pagamentos a Evil Corp podem constituir violação de sancoes. ## Attack Flow - Ransomware com Evasão de Sancoes ```mermaid graph TB A["Acesso Inicial Dridex via phishing Fake Browser Updaté (2024) VPN comprometida"] --> B["Foothold Cobalt Strike beacons Empire framework Persistência AD"] B --> C["Escalacao de Privilegios LSASS dump T1003.001 Password managers T1555.005 Domain accounts T1078.002"] C --> D["Movimento Lateral RDP T1021.001 WMI T1047 GPO modification T1484.001"] D --> E["Pre-Ransomware Enumeracao de ativos Cloud storage exfil T1567.002 Data staging T1074.001"] E --> F["Ransomware Deploy BitPaymer / WastedLocker LockBit (2022-2024) Rebranding para evadir sancoes"] ``` ## Evolução e Rebranding ```mermaid timeline title Indrik Spider - Evolução do Grupo 2009 : GameOverZeus (precursor The Business Club) : Yakubets inicio de carreira criminal 2014 : Fundacao do Evil Corp : Dridex banking trojan lancado 2017 : BitPaymer ransomware : Ryzhenkov lidera operacoes de ransom 2019 : Sancoes OFAC + Indiciamento DOJ : Rebranding para evadir sancoes 2020 : WastedLocker : Hades, Phoenix Locker, PayloadBin 2022 : Uso de LockBit como afiliado : Conexão com BITWISE SPIDER confirmada 2024 : Indiciamento Ryzhenkov : 60+ builds LockBit, $100M+ extorsao : Sancoes EUA + UK + Australia ``` ## Estrutura do Grupo O Evil Corp foi descrito como organizado como uma "familia criminosa tradicional", com estrutura hierarquica clara: - **Maksim Yakubets ("Aqua"):** Lider e fundador; contato principal com FSB/SVR/GRU - **Aleksandr Ryzhenkov:** Segundo em comando; responsavel por ransomware; também afiliado LockBit - **Igor Turashev:** Administrador do Dridex; indiciado pelo DOJ em 2019 - **Eduard Benderskiy:** Sogro de Yakubets; ex-FSB Vympel; protetor do grupo junto ao estado russo - **Denis Gusev:** Facilitador financeiro; sancoes em 2019 ## Arsenal Tecnico A evolução do arsenal reflete o ciclo de sancoes/rebranding: **Fase 1 - Fraude Bancaria (2014-2017):** - [[s0384-dridex|Dridex]] (aka Bugat): Trojan bancario sofisticado com capacidades de formulario web, keylogging, e redirecionamento de sessoes bancarias. Infectou centenas de bancos em 40+ paises, causando mais de US$ 100 milhões em perdas. **Fase 2 - Ransomware Proprio (2017-2021):** - [[bitpaymer|BitPaymer]]: Primeiro ransomware do grupo, implantado manualmente pos-comprometimento de rede corporativa - [[s0612-wastedlocker|WastedLocker]]: Ransomware avancado com técnicas de evasão de AV; lancado após sancoes 2019 **Fase 3 - Afiliacao e Rebranding (2022-presente):** - Uso do [[s0154-cobalt-strike|Cobalt Strike]] como C2 principal - Ransomware LockBit via afiliacao com BITWISE SPIDER - Fake Browser Updaté como vetor de distribuição de acesso inicial ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - [[t1136-create-account|T1136 - Creaté Account]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1555-005-password-managers|T1555.005 - Password Managers]] - [[t1590-gather-victim-network-information|T1590 - Gather Victim Network Information]] - [[t1552-001-credentials-in-files|T1552.001 - Credentials In Files]] - [[t1567-002-exfiltration-to-cloud-storage|T1567.002 - Exfiltration to Cloud Storage]] - [[t1484-001-group-policy-modification|T1484.001 - Group Policy Modification]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] ## Software Utilizado - [[s0384-dridex|Dridex]] - [[bitpaymer|BitPaymer]] - [[s0612-wastedlocker|WastedLocker]] - [[s0154-cobalt-strike|Cobalt Strike]] - [[mimikatz|Mimikatz]] - [[psexec|PsExec]] - [[s0363-empire|Empire]] - [[s0695-donut|Donut]] ## Relevância para o Brasil e LATAM > [!warning] Ameaça ao Setor Financeiro Brasileiro > O Indrik Spider/Evil Corp tem historico de ataque ao setor financeiro global, incluindo bancos na América Latina. O Dridex compromete credenciais bancarias massivamente - instituicoes brasileiras com operações internacionais ou sistemas de internet banking sao alvos potenciais. O risco para o Brasil e moderado-alto, especialmente via: - **Fraude bancaria via Dridex** em instituicoes com operações nos EUA/Europa - **Ransomware oportunista** contra empresas brasileiras de medio e grande porte - **Fake Browser Updaté** como vetor inicial - usuarios corporativos brasileiros sao alvos - Compliance de **sancoes OFAC**: empresas brasileiras nao devem pagar ransoms ao grupo sem consultar assessoria juridica especializada ## Referências - MITRE ATT&CK: [G0119](https://attack.mitre.org/groups/G0119/) - DOJ Indictment - Yakubets & Turashev (2019) - DOJ Indictment - Ryzhenkov (2024) - OFAC Designations Evil Corp (2019, 2024) - NCA/FBI/AFP - Evil Corp: Behind the Scenes (2024) - CrowdStrike - INDRIK SPIDER & BITWISE SPIDER ties (2024) - [[g0008-carbanak|Carbanak]] - grupo cibercrime similar com foco financeiro - [[g0102-conti-group|Wizard Spider]] - grupo relacionado (Ryuk/Conti) - [[financial|Setor Financeiro]] - [[lockbit|LockBit]]