02/07/21
ИБ-эксперты компании FortiGuard Labs связали новое вымогательское ПО Diavol с киберпреступной группировкой Wizard Spider, стоящей за вредоносным ПО Trickbot.
Полезные нагрузки Diavol и Conti развертывались на различных системах в ходе попыток атак с использованием вредоносного ПО, заблокированных EDR-решением FortiGuard Labs в начале прошлого месяца.
Образцы двух семейств программ-вымогателей сделаны из одного и того же «материала» - начиная от использования операций асинхронного ввода-вывода для очередей шифрования файлов и заканчивая использованием практически идентичных параметров командной строки для одних и тех же функций (журналирования, шифрования дисков и сетевых ресурсов, сканирования сети).
Несмотря на все сходства, исследователи не могли найти прямой связи между вымогательским ПО Diavol и группировкой Trickbot из-за ряда существенных различий, делающих точную атрибуцию невозможной. Например, в отличие от Conti, в Diavol нет встроенных механизмов проверки, препятствующих запуску полезных нагрузок на компьютерах, находящихся в России. Кроме того, нет никаких свидетельств того, что перед шифрованием вымогатель похищает данные.
Wizard Spider является финансово мотивированной киберпреступной группировкой, стоящей за ботнетом Trickbot, который используется для доставки на скомпрометированные системы вредоносное ПО второго этапа. Trickbot представляет особую опасность для предприятий, поскольку способен распространяться по корпоративной сети. Если вредоносу удается получить доступ с правами администратора к контроллеру домена, он может похищать базу данных Active Directory и получать еще больше учетных данных в сети, которые могут пригодиться киберпреступникам.
Хотя компания Microsoft вместе с коллегами заявила об отключении части C&C-инфраструктуры ботнета Trickbot, он все еще активен, и группировка продолжает выпускать новые сборки вредоноса.
Первый крутой поворот в операциях группировки произошел летом 2018 года, когда она начала атаковать корпоративные сети с помощью вымогательского ПО Ryuk, а второй – в 2020 году, когда хакеры переключились на вымогательское ПО Conti.
С апреля 2020 года разработчики Trickbot начали использовать в атаках бэкдор BazarLoader – инструмент для компрометации и получения полного контроля над корпоративными сетями до развертывания вымогательского ПО.
