Обнаружены новые свидетельства связи вымогателя Diavol с группировкой TrickBot
20/08/21
По словам исследователей из IBM X-Force, образец вымогателя имеет сходство с другими вредоносными программами операторов TrickBot, что позволяет установить более четкую связь между ними.
В начале июля нынешнего года Fortinet раскрыла особенности неудачной атаки вымогателя с использованием полезной нагрузки Diavol, нацеленной на одного из своих клиентов, подчеркнув, что исходный код полезной нагрузки перекрывается с кодом Conti и методами Egregor.
«Как часть процедуры шифрования, Diavol использует асинхронные вызовы процедур (APC) в пользовательском режиме без симметричного алгоритма шифрования. Обычно авторы программ-вымогателей стремятся завершить операцию шифрования в кратчайшие сроки. Асимметричные алгоритмы шифрования — не очевидный выбор, поскольку они работают значительно медленнее, чем симметричные алгоритмы», — сообщили эксперты.
Как показали результаты анализа новой версии Diavol, вредонос способен завершать произвольные процессы и назначать приоритеты типам файлов для шифрования на основе предварительно настроенного списка расширений, составленного злоумышленником. Выполнение программы-вымогателя начинается со сбора системной информации, которая используется для генерации уникального идентификатора, почти идентичного идентификатору ботнета TrickBot, за исключением добавления поля имени пользователя Windows.
Сходство между Diavol и TrickBot также заключается в том, что HTTP-заголовки, используемые для C&C-сервера, настроены отдавать предпочтение русскоязычному контенту.
Как отметили эксперты, в Diavol используется код для проверки языка на зараженной системе с целью фильтрации жертв в России или в регионе Содружества Независимых Государств (СНГ). Как известно, данная тактика была присуща группировке TrickBot.