Treasury Sanctions Leden van de in Rusland gevestigde Cybercriminal Group Evil Corp in trilaterale actie met het Verenigd Koninkrijk en Australië

De Verenigde Staten ondernemen aanvullende actie tegen de in Rusland gevestigde cybercriminele groep Evil Corp, waarbij extra leden en aangesloten bedrijven worden geïdentificeerd en bestraft

WASHINGTON – Vandaag wijst het Office of Foreign Assets Control (OFAC) van het ministerie van Financiën zeven personen en twee entiteiten die banden hebben met de in Rusland gevestigde cybercriminele groep Evil Corp, in een trilaterale actie met het Foreign, Commonwealth & Development Office (FCDO) van het Verenigd Koninkrijk en het Australische ministerie van Buitenlandse Zaken en Handel (DFAT). Op 5 december 2019 heeft OFAC Evil Corp, zijn leider en oprichter Maksim Viktorovich Yakubets en meer dan een dozijn leden, facilitators en aangesloten bedrijven van Evil Corp aangewezen overeenkomstig Executive Order (EO) 13694, zoals gewijzigd door EO 13757 (“EO 13694, zoals gewijzigd”). Het Verenigd Koninkrijk en Australië wijzen gelijktijdig geselecteerde aan Evil Corp gelieerde personen aan die vandaag of in 2019 door OFAC zijn aangewezen. Bovendien heeft het Amerikaanse ministerie van Justitie een aanklacht geopend waarin een lid van Evil Corp wordt aangeklaagd in verband met zijn gebruik van de BitPaymer-ransomware gericht op slachtoffers in de Verenigde Staten. De benoeming van vandaag valt ook samen met de tweede dag van de door de VS georganiseerde Counter Ransomware Initiative-top, waarbij meer dan 50 landen samenwerken om de dreiging van ransomware tegen te gaan.

“De trilaterale actie van vandaag onderstreept onze collectieve inzet om bescherming te bieden tegen cybercriminelen zoals ransomware-actoren, die onze kritieke infrastructuur willen ondermijnen en onze burgers willen bedreigen”, aldus Bradley T. Smith, waarnemend staatssecretaris van het ministerie van Financiën voor Terrorisme en Financiële Inlichtingen. “De Verenigde Staten zullen, in nauwe samenwerking met onze bondgenoten en partners, onder meer via het Counter Ransomware Initiative, de criminele netwerken die persoonlijk gewin uit de pijn en het lijden van hun slachtoffers zoeken, blijven ontmaskeren en ontwrichten.”

Evil Corp is een in Rusland gevestigde cybercriminele organisatie die verantwoordelijk is voor de ontwikkeling en distributie van de Dridex-malware. Evil Corp heeft de Dridex-malware gebruikt om computers te infecteren en inloggegevens van honderden banken en andere financiële instellingen in meer dan 40 landen te verzamelen, wat heeft geresulteerd in meer dan $ 100 miljoen aan diefstalverliezen en schade geleden door Amerikaanse en internationale financiële instellingen en hun klanten. In een gelijktijdige actie met de sancties van OFAC in december 2019 heeft het Amerikaanse ministerie van Justitie Maksim en Evil Corp-beheerder Igor Turashev aangeklaagd wegens strafrechtelijke vervolging in verband met computerhacking en bankfraude, en heeft het Transnational Organised Crime Rewards Program van het Amerikaanse ministerie van Buitenlandse Zaken een beloning uitgereikt. voor informatie ter waarde van maximaal $ 5 miljoen die leidt tot de arrestatie en/of veroordeling van Maksim.

Bovendien gebruikte Maksim zijn baan bij de Russian National Engineering Corporation (NIK) als dekmantel voor zijn voortdurende criminele activiteiten die verband hielden met Evil Corp. De NIK werd opgericht door Igor Yuryevich Chayka (Chayka), zoon van Yuriy Chayka, lid van de Russische Veiligheidsraad, en zijn medewerker Aleksei Valeryavich Troshin (Troshin). In oktober 2022 heeft OFAC Chayka, Troshin en NIK aangewezen overeenkomstig EO 14024.

Evil Corp-leden en aangesloten bedrijven

_{Klik om te vergroten}

Eduard Benderskiy (Benderskiy), een voormalige Spetnaz-officier van de Russische Federale Veiligheidsdienst (FSB), die is aangewezen onder talrijke OFAC-sanctieautoriteiten, de huidige Russische zakenman en de schoonvader van de leider van het Evil Corp, Maksim Viktorovich Yakubets (Maksim), heeft was een belangrijke factor in de relatie van Evil Corp met de Russische staat. Benderskiy maakte gebruik van zijn status en contacten om de zich ontwikkelende relaties van Evil Corp met functionarissen van de Russische inlichtingendiensten te vergemakkelijken. Na de sancties en aanklachten tegen Evil Corp en Maksim van december 2019 gebruikte Benderskiy zijn uitgebreide invloed om de groep te beschermen.

Hoewel hij geen officiële functie bekleedt in de Russische regering, portretteert Benderskiy zichzelf als assistent van de Russische Doema. Rond 2017 was een van Benderskiy’s particuliere beveiligingsbedrijven betrokken bij het bieden van beveiliging voor in Irak gevestigde faciliteiten die werden beheerd door de Russische oliemaatschappij Lukoil OAO. Ditzelfde particuliere beveiligingsbedrijf wordt geprezen door de FSB, het Russische ministerie van Buitenlandse Zaken, de Russische Doema en andere Russische overheidsinstanties.

Vanaf tenminste 2016 had Maksim zakelijke interacties met Aleksandr Tikhonov (Tikhonov), voormalig commandant van het FSB Special Purpose Center, Russische regeringsleiders, waaronder door OFAC aangewezen personen Dmitry Kozak (Kozak) en Gleb Khor, en leiders van prominente Russische banken zoals Door de OFAC aangewezen persoon Herman Gref (Gref), de Chief Executive Officer van Sberbank. In 2019 gebruikte Benderskiy zijn connecties om een ​​zakelijke deal mogelijk te maken waarbij Maksim en Kozak betrokken waren, waarvan zij dachten dat deze tientallen miljoenen dollars per maand zou opleveren. In hetzelfde jaar organiseerde Benderskiy een bijeenkomst met Maksim en Gref om zakelijke contracten met NIK te bespreken.

Na de sancties en aanklachten van december 2019 tegen Evil Corp en Maksim, zocht Maksim de hulp van Benderskiy. Benderskiy gebruikte zijn uitgebreide invloed om de groep, inclusief zijn schoonzoon, te beschermen, zowel door senior leden veiligheid te bieden als door ervoor te zorgen dat ze niet werden achtervolgd door de Russische interne autoriteiten.

OFAC heeft Benderskiy aangewezen op grond van EO 14024 omdat hij eigendom is van of onder zeggenschap staat van, of heeft gehandeld of voorgenomen op te treden voor of namens, direct of indirect, de regering van de Russische Federatie, en op grond van EO 13694, zoals gewijzigd, omdat hij materiële bijstand heeft verleend financiële, materiële of technologische ondersteuning, of goederen of diensten ter ondersteuning van Maksim, een persoon wiens eigendommen en belangen in eigendom zijn geblokkeerd op grond van EO 13694, zoals gewijzigd, gesponsord of verstrekt.

Benderskiy is de algemeen directeur, oprichter en 100 procent eigenaar van de in Rusland gevestigde bedrijfs- en managementadviesbureaus Vympel-Assistance LLC En Solar-Invest LLC. OFAC heeft Vympel-Assistance LLC en Solar-Invest LLC aangewezen overeenkomstig EO 14024 en EO 13694, zoals gewijzigd, omdat zij eigendom zijn van of gecontroleerd worden, of hebben gehandeld of beweerd te handelen voor of namens, direct of indirect, Benderskiy, een persoon wiens eigendommen en belangen in eigendommen worden geblokkeerd overeenkomstig EO 14024 en EO 13694, zoals gewijzigd.

Viktor Grigoryevich Yakubets (Viktor) is de vader van Maksim en lid van Evil Corp. In 2020 heeft Viktor waarschijnlijk technische uitrusting aangeschaft ter bevordering van de activiteiten van Evil Corp. OFAC heeft Viktor aangewezen overeenkomstig EO 13694, zoals gewijzigd, omdat hij materieel heeft bijgestaan, gesponsord of financiële, materiële of technologische ondersteuning heeft verleend, of goederen of diensten ter ondersteuning van Evil Corp, een persoon wiens eigendommen en belangen in eigendom zijn geblokkeerd op grond van volgens EO 13694, zoals gewijzigd.

Maksim is voorzichtig geweest met het blootstellen van verschillende groepsleden aan verschillende bedrijfsgebieden, maar hij stelde veel vertrouwen in zijn langdurige medewerker en onderbevelhebber, Aleksandr Viktorovitsj Ryzjenkov (Aleksandr Ryzjenkov). Maksim begon rond 2013 samen te werken met Aleksandr Ryzhenkov, terwijl ze allebei nog betrokken waren bij de “Business Club” -groep. Hun partnerschap bleef bestaan ​​en ze werkten samen aan de ontwikkeling van een aantal van de meest productieve ransomwarevarianten van Evil Corp. In 2016 probeerde Aleksandr Ryzhenkov, die wordt geassocieerd met de online bijnaam “Guester” (een pseudoniem dat hij heeft gebruikt bij het uitvoeren van operaties namens Evil Corp), internetbots te verwerven in een Evil Corp-operatie gericht op doelen in Zwitserland. Aleksandr Ryzjenkov fungeerde minstens sinds medio 2017 als gesprekspartner voor Maksim met de meeste leden van het Evil Corp en hield toezicht op de activiteiten van de cybercriminele groep. Medio 2017 richtte Aleksandr Ryzjenkov zich op een in New York gevestigde bank. Na de sancties en aanklacht van december 2019 keerden Maksim en Aleksandr Ryzhenkov terug naar hun operaties tegen in de VS gevestigde slachtoffers. In 2020 werkte Aleksandr Ryzhenkov samen met Maksim om “Dridex 2.0” te ontwikkelen.

Sergej Viktorovitsj Ryzjenkov (Sergej Ryzjenkov), Aleksej Jevgenjevitsj Sjchetinin (Schetinine), Bejat Enverovitsj Ramazanov (Ramazanov), en Vadim Gennadievitsj Pogodin (Pogodin) zijn leden van Evil Corp die algemene steun hebben verleend aan de activiteiten en operaties van de cybercriminele groep.

In 2019 hielp Sergey Ryzhenkov, de broer van Aleksandr Ryzhenkov, de activiteiten van Evil Corp naar een nieuw kantoor te verhuizen. In 2020, na de sancties en de aanklacht van Evil Corp, hielp Sergey Ryzhenkov Aleksandr Ryzhenkov en Maksim bij het ontwikkelen van de “Dridex 2.0” -malware. In 2017 tot en met ten minste 2018 werkte Shchetinin samen met verschillende andere Evil Corp-leden, waaronder Denis Igorevich Gusev, Dmitriy Konstantinovich Smirnov en Aleksei Bashlikov, om voor miljoenen dollars aan virtuele en fiat-valuta te kopen en uit te wisselen. Begin 2020 speelde Pogodin een cruciale rol bij een ransomware-aanval van Evil Corp, en medio 2020 droeg hij bij aan een ransomware-aanval van Evil Corp op een Amerikaans bedrijf.

OFAC heeft Aleksandr Ryzhenkov, Sergey Ryzhenkov, Shchetinin, Ramazanov en Pogodin aangewezen overeenkomstig EO 13694, zoals gewijzigd, voor het materieel assisteren, sponsoren of verstrekken van financiële, materiële of technologische ondersteuning, of goederen of diensten ter ondersteuning van Evil Corp, een persoon wiens eigendommen en belangen in eigendommen zijn geblokkeerd op grond van EO 13694, zoals gewijzigd.

Naast de sancties van vandaag heeft het Amerikaanse ministerie van Justitie een aanklacht geopend waarin Aleksandr Ryzhenkov wordt beschuldigd van het gebruik van de BitPaymer-ransomwarevariant om talloze slachtoffers in de Verenigde Staten aan te vallen. Aleksandr Ryzjenkov gebruikte verschillende methoden om in computersystemen binnen te dringen en gebruikte zijn onrechtmatig verkregen toegang om miljoenen dollars aan losgeld te eisen. Het Federal Bureau of Investigation heeft een gezochte poster gepubliceerd voor Aleksandr Ryzhenkov vanwege zijn vermeende betrokkenheid bij ransomware-aanvallen en witwasactiviteiten. Ook vandaag heeft het Verenigd Koninkrijk er 15 aangewezen en Australië drie Evil Corp-leden en aangesloten bedrijven.

IMPLICATIES VAN SANCTIES

Als gevolg van de actie van vandaag worden alle eigendommen en belangen in eigendommen van de hierboven beschreven aangewezen personen die zich in de Verenigde Staten bevinden of in het bezit of onder controle zijn van Amerikaanse personen geblokkeerd en moeten aan OFAC worden gerapporteerd. Bovendien worden ook alle entiteiten geblokkeerd die, direct of indirect, individueel of gezamenlijk, voor 50 procent of meer eigendom zijn van een of meer geblokkeerde personen. Tenzij toegestaan ​​door een algemene of specifieke vergunning uitgegeven door OFAC, of ​​vrijgesteld, verbieden de OFAC-regelgeving in het algemeen alle transacties door Amerikaanse personen of binnen (of doorreis) de Verenigde Staten waarbij eigendommen of belangen in eigendommen van aangewezen of anderszins geblokkeerde personen betrokken zijn.

Bovendien kunnen financiële instellingen en andere personen die zich bezighouden met bepaalde transacties of activiteiten met de gesanctioneerde personen zichzelf blootstellen aan sancties of onderworpen worden aan handhavingsmaatregelen. De verboden omvatten het leveren van een bijdrage of verstrekking van geld, goederen of diensten door, aan of ten behoeve van een aangewezen persoon, of de ontvangst van een bijdrage of verstrekking van geld, goederen of diensten van een dergelijke persoon.

De kracht en integriteit van OFAC-sancties vloeien niet alleen voort uit het vermogen van OFAC om personen aan te wijzen en toe te voegen aan de SDN-lijst, maar ook uit zijn bereidheid om personen van de SDN-lijst te verwijderen in overeenstemming met de wet. Het uiteindelijke doel van sancties is niet het straffen, maar het bewerkstelligen van een positieve gedragsverandering. Voor informatie over het proces voor het aanvragen van verwijdering van een OFAC-lijst, inclusief de SDN-lijst, kunt u hier OFAC’s Veelgestelde vraag 897 raadplegen. Voor gedetailleerde informatie over de procedure voor het indienen van een verzoek tot verwijdering van een OFAC-sanctielijst kunt u hier klikken.

Zie OFAC’s bijgewerkte Advisory on Potential Sanction Risk for Facilitating Ransomware Payments voor informatie over de acties die OFAC beschouwt als verzachtende factoren bij eventuele gerelateerde handhavingsmaatregelen waarbij ransomware-betalingen met een potentieel sanctierisico gepaard gaan. Voor informatie over het naleven van sancties die van toepassing zijn op virtuele valuta, zie OFAC’s Sanctions Compliance Guidance for the Virtual Valuta Industrie.

Klik hier voor meer informatie over de vandaag aangewezen personen en entiteiten.

###