Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Обнаружены новые свидетельства связи вымогателя Diavol с группировкой TrickBot

20/08/21

hack24-Aug-20-2021-09-08-28-16-AMПо словам исследователей из IBM X-Force, образец вымогателя имеет сходство с другими вредоносными программами операторов TrickBot, что позволяет установить более четкую связь между ними.

В начале июля нынешнего года Fortinet раскрыла особенности неудачной атаки вымогателя с использованием полезной нагрузки Diavol, нацеленной на одного из своих клиентов, подчеркнув, что исходный код полезной нагрузки перекрывается с кодом Conti и методами Egregor.

«Как часть процедуры шифрования, Diavol использует асинхронные вызовы процедур (APC) в пользовательском режиме без симметричного алгоритма шифрования. Обычно авторы программ-вымогателей стремятся завершить операцию шифрования в кратчайшие сроки. Асимметричные алгоритмы шифрования — не очевидный выбор, поскольку они работают значительно медленнее, чем симметричные алгоритмы», — сообщили эксперты.

Как показали результаты анализа новой версии Diavol, вредонос способен завершать произвольные процессы и назначать приоритеты типам файлов для шифрования на основе предварительно настроенного списка расширений, составленного злоумышленником. Выполнение программы-вымогателя начинается со сбора системной информации, которая используется для генерации уникального идентификатора, почти идентичного идентификатору ботнета TrickBot, за исключением добавления поля имени пользователя Windows.

Сходство между Diavol и TrickBot также заключается в том, что HTTP-заголовки, используемые для C&C-сервера, настроены отдавать предпочтение русскоязычному контенту.

Как отметили эксперты, в Diavol используется код для проверки языка на зараженной системе с целью фильтрации жертв в России или в регионе Содружества Независимых Государств (СНГ). Как известно, данная тактика была присуща группировке TrickBot.

Темы:ПреступленияВымогателиFortinetIBM X-Force
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...