Wouter Hoeffnagel - 17 mei 2017

Hackersgroep GOLD EVERGREEN ontmaskerd

Er lijkt geen einde te komen aan nieuwe cybercriminelen aanvallen. De WannaCry ransomware aanval is het jongste lid van een steeds verder groeiende familie. Maar wie staat achter dit soort activiteiten? Het blijkt dat er sprake is van een aantal goed georganiseerde groepen, die deels over een lange geschiedenis beschikken en indruk maken met een track record van grootschalige financiële successen, innovatie en aanpassingsvermogen. Een van deze groepen is GOLD EVERGREEN, die ook bekend staat als Business Club.

Per definitie zijn de activiteiten en de ontwikkeling van dit soort groepen lastig te achterhalen. Desondanks heeft de SecureWorks Counter Threat Unit (CTU) inzicht weten te verkrijgen in de evolutie van GOLD EVERGREEN en deelt zijn kennis in een rapport. Gold Evergreen is geëvolueerd uit de Oost-Europese hackersgroep Rock Phish, die actief was van 2004 tot 2008. Rock Phish was één van de eerste bedreigingsgroepen die fast-flux DNS op grote schaal gebruikten.

Verbeterde infrastructuur
Eind 2008 begon Rock Phish het Asprox botnet op een verbeterde infrastructuur te gebruiken. Door phishing-sites op een botnet van gecompromitteerde thuiscomputers te hosten, in plaats van websites of aangekochte infrastructuur, werd het veel lastiger om gecompromitteerde systemen te identificeren en uit te schakelen. In 2009 verhuisden veel van de Rock Phish-hackers naar het Avalanche hosting netwerk om hun phishing-activiteit te verbeteren.

Vanwege de beperkingen van de wetstoepassing en van de vaardigheden om cybercriminaliteit te onderzoeken waren er in 2009 geen arrestaties of aanklachten tegen Rock Phish of Avalanche-hackers. Het Avalanche netwerk bleef groeien en werd een populair hostingplatform voor criminele bedrijven. In november 2016 werd het netwerk ontmanteld en werden de beheerders (waaronder Oekraïense Hennadiy Kapkanov) gearresteerd. Kapkanov verscheen voor een Oekraïense rechter maar werd vrijgesproken en zijn locatie is tot dusver onbekend. De bedreigingsgroep evolueerde zich tot GOLD EVERGREEN toen het Gameover Zeus voor zijn activiteiten begon te gebruiken.

Uitgebreide analyse
Meer informatie over GOLD EVERGREEN en diens activiteiten is te vinden in de uitgebreide analyse van de SecureWorks Counter Threat Unit Threat Intelligence.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024