Diavol: Ένα νέο Ransomware που αναπτύσσει το TrickBot Botnet
Σύμφωνα με τελευταίες έρευνες ο απειλητικοί παράγοντας πίσω από το περίφημο κακόβουλο λογισμικό TrickBot έχει συνδεθεί με ένα νέο στέλεχος ransomware που ονομάζεται “Diavol”.
Τα Diavol και Conti ransomware αναπτύχθηκαν σε διαφορετικά συστήματα σε περίπτωση που δεν στεφθεί με επιτυχία η επίθεση σε κάποιον στόχο, ανέφεραν ερευνητές από τα FortiGuard Labs της Fortinet την περασμένη εβδομάδα.
Το TrickBot είναι ένας τραπεζικός Trojan που εντοπίστηκε για πρώτη φορά το 2016,ήταν μια επίθεση crimeware που βασίζεται σε Windows, χρησιμοποιώντας διαφορετικές λειτουργικές μονάδες για την εκτέλεση ενός φάσματος κακόβουλων δραστηριοτήτων σε στοχευμένα δίκτυα, όπως κλοπή διαπιστευτηρίων και επιθέσεις ransomware.
Παρά τις προσπάθειες των αρχών επιβολής του νόμου για εξουδετέρωση του δικτύου bot, το συνεχώς εξελισσόμενο κακόβουλο λογισμικό έχει αποδειχθεί ότι είναι μια ανθεκτική απειλή, χειριστές με έδρα τη Ρωσία – που ονομάζονται “Wizard Spider” – προσαρμόζουν γρήγορα νέα εργαλεία για την πραγματοποίηση περαιτέρω επιθέσεων.
Η πηγή της εισβολής του Diavol παραμένει άγνωστη μέχρι σήμερα. Αυτό που είναι ξεκάθαρο, ωστόσο, είναι ότι ο πηγαίος κώδικας του payload μοιράζεται ομοιότητες με αυτόν του Conti, ακόμα και όταν έχει διαπιστωθεί ότι το ransom note του επαναχρησιμοποιεί κάποια γλώσσα από το Egregor ransomware.
«Ως μέρος μιας μάλλον μοναδικής διαδικασίας κρυπτογράφησης, το Diavol λειτουργεί χρησιμοποιώντας Asynchronous Procedure Calls (APCs) χωρίς τρόπο συμμετρικού αλγορίθμου κρυπτογράφησης», δήλωσαν οι ερευνητές. “Συνήθως, οι συγγραφείς ransomware στοχεύουν στην ολοκλήρωση της λειτουργίας κρυπτογράφησης στο συντομότερο χρονικό διάστημα. Οι ασύμμετροι αλγόριθμοι κρυπτογράφησης δεν είναι η προφανής επιλογή καθώς είναι σημαντικά πιο αργοί από τους συμμετρικούς αλγόριθμους.”
Πριν από το κλείδωμα αρχείων και την αλλαγή του φόντου της επιφάνειας εργασίας με ένα μήνυμα λύτρων, μερικές από τις κύριες λειτουργίες που πραγματοποίησε η Diavol ήταν η εγγραφή της συσκευής θύματος σε έναν απομακρυσμένο διακομιστή, ο τερματισμός των διαδικασιών εκτέλεσης, η εύρεση τοπικών δίσκων και αρχείων στο σύστημα για κρυπτογράφηση και η αποτροπή ανάκτηση διαγράφοντας αντίγραφα.
Η εκπληκτική προσπάθεια του Wizard Spider ransomware συμπίπτει επίσης με “τις τελευταίες εξελίξεις στο TrickBot webinject module”, όπως περιγράφεται λεπτομερώς από την ομάδα του Kryptos Logic Threat Intelligence, υποδεικνύοντας ότι η ομάδα του κυβερνοεγκλήματος με το οικονομικό κίνητρο, εξακολουθεί να εξοπλίζει το κακόβουλου λογισμικό της.
