Η ομάδα πίσω από το Trickbot συνδέεται με το ransomware Diavol
Οι ερευνητές του FortiGuard Labs έχουν συνδέσει ένα νέο
στέλεχος
ransomware που ονομάζεται Diavol με το Wizard Spider, την ομάδα κυβερνοεγκλήματος πίσω από το botnet Trickbot.
Τα payloads Diavol και
Conti ransomware
αναπτύχθηκαν σε διαφορετικά
συστήματα
σε μια
επίθεση
ransomware που μπλοκαρίστηκε από τη λύση EDR της εταιρείας στις αρχές Ιουνίου 2021.
Δείτε επίσης:
Βιομηχανικά
συστήματα
ελέγχου (ICS): Στόχος ransomware συμμοριών
Τα δείγματα των δύο οικογενειών ransomware δείχνουν ότι είναι παρόμοια, από τη χρήση ασύγχρονων λειτουργιών I/O για queuing κρυπτογράφησης αρχείων έως τη χρήση σχεδόν πανομοιότυπων παραμέτρων γραμμής εντολών για την ίδια λειτουργικότητα.
Ωστόσο, παρά όλες τις ομοιότητες, οι ερευνητές δεν μπόρεσαν να βρουν έναν άμεσο σύνδεσμο μεταξύ του Diavol ransomware και της συμμορίας πίσω από το Trickbot.
Για παράδειγμα, δεν υπάρχουν ενσωματωμένοι έλεγχοι στο Diavol ransomware που εμποδίζουν την εκτέλεση των payloads σε ρωσικά
συστήματα
στόχων όπως κάνει το Conti.
Δεν υπάρχει επίσης καμία ένδειξη για
δυνατότητες
data exfiltration πριν από την
κρυπτογράφηση
, μια κοινή τακτική που χρησιμοποιείται από συμμορίες ransomware για διπλό εκβιασμό.
Δείτε επίσης:
Ransomware
επίθεση
απέτυχε την τελευταία στιγμή. Πώς την ανακάλυψαν;
Δυνατότητες
του Diavol ransomware
Η διαδικασία κρυπτογράφησης του Diavol ransomware χρησιμοποιεί Asynchronous Procedure Calls (APCs) με ασύμμετρο αλγόριθμο κρυπτογράφησης.
Αυτό το ξεχωρίζει από άλλες οικογένειες ransomware, καθώς συνήθως χρησιμοποιούν συμμετρικούς αλγόριθμους για να επιταχύνουν σημαντικά τη διαδικασία κρυπτογράφησης.
Το Diavol στερείται επίσης του obfuscation, καθώς δεν χρησιμοποιεί κόλπα packing ή κατά της αποσυναρμολόγησης, αλλά καταφέρνει να κάνει την
ανάλυση
πιο δύσκολη αποθηκεύοντας τις κύριες ρουτίνες της σε
εικόνες
bitmap.
Κατά την εκτέλεση σε ένα μηχάνημα που έχει παραβιαστεί, το ransomware εξάγει τον κώδικα από την ενότητα πόρων PE των εικόνων και τον φορτώνει σε ένα buffer με
δικαιώματα
εκτέλεσης.
Ο κώδικας που εξάγει ανέρχεται σε 14 διαφορετικές ρουτίνες που θα εκτελεστούν με την ακόλουθη σειρά:
- Δημιουργία ενός αναγνωριστικού για το θύμα
- Initializing του configuration
- Εγγραφείτε στον C&C server και ενημερώστε το configuration
- Διακοπή υπηρεσιών και διαδικασιών
- Initialize του κλειδιού κρυπτογράφησης
-
Εντοπισμός όλων των drive για
κρυπτογράφηση
-
Εντοπισμός όλων των αρχείων για
κρυπτογράφηση
- Αποτροπή της ανάκτησης διαγράφοντας τα σκιώδη αντίγραφα
-
Κρυπτογράφηση
- Αλλαγή της ταπετσαρίας του desktop
Πριν τελειώσει το Diavol ransomware, θα αλλάξει το φόντο κάθε κρυπτογραφημένης συσκευής Windows σε μια μαύρη ταπετσαρία με το ακόλουθο μήνυμα: “Όλα τα
αρχεία
σας είναι κρυπτογραφημένα! Για περισσότερες πληροφορίες δείτε README-FOR-DECRYPT.txt”.
Δείτε επίσης:
CISA: Κυκλοφορεί
εργαλείο
αυτοαξιολόγησης ασφάλειας για ransomware
“Επί του παρόντος, η πηγή της εισβολής είναι άγνωστη”, λέει η Fortinet. “Οι παράμετροι που χρησιμοποίησαν οι επιτιθέμενοι, μαζί με τα σφάλματα στη διαμόρφωση των κωδικών, υποδηλώνουν το γεγονός ότι το Diavol είναι ένα νέο
εργαλείο
στο οπλοστάσιο των χειριστών του, στο οποίο δεν είναι ακόμη εξοικειωμένοι.”
Επιπλέον τεχνικές πληροφορίες για το Diavol ransomware και τους δείκτες παραβιασμού (
IOCs
) βρίσκονται στο τέλος της ερευνητικής έκθεσης του FortiGuard Labs.
Πηγή πληροφοριών: bleepingcomputer.com
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.