Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về phiên bản phát triển ban đầu của một chủng ransomware mới ra đời được gọi là Diavol có liên quan đến các tác nhân đe dọa đằng sau tổ chức TrickBot khét tiếng.
Mới nhất phát hiện từ IBM X-Force cho thấy mẫu ransomware chia sẻ những điểm tương đồng với các phần mềm độc hại khác được quy cho băng nhóm tội phạm mạng, do đó thiết lập mối liên hệ rõ ràng hơn giữa hai phần mềm này.
Vào đầu tháng 7, Fortinet tiết lộ thông tin cụ thể về một cuộc tấn công ransomware không thành công liên quan đến tải trọng Diavol nhắm mục tiêu vào một trong những khách hàng của nó, làm nổi bật mã nguồn của tải trọng trùng lặp với mã nguồn của Conti và kỹ thuật sử dụng lại một số ngôn ngữ từ Egregor ransomware trong ghi chú đòi tiền chuộc.
Các nhà nghiên cứu của Fortinet cho biết: “Là một phần của quy trình mã hóa khá độc đáo, Diavol hoạt động bằng cách sử dụng lệnh gọi thủ tục không đồng bộ ở chế độ người dùng (APC) mà không có thuật toán mã hóa đối xứng. “Thông thường, các tác giả ransomware đặt mục tiêu hoàn thành hoạt động mã hóa trong khoảng thời gian ngắn nhất. Các thuật toán mã hóa bất đối xứng không phải là lựa chọn rõ ràng vì chúng [are] chậm hơn đáng kể so với các thuật toán đối xứng. “
Giờ đây, bản đánh giá về một mẫu Diavol trước đó – được biên soạn vào ngày 5 tháng 3 năm 2020 và được gửi tới VirusTotal vào ngày 27 tháng 1 năm 2021 – đã tiết lộ thông tin chi tiết về quá trình phát triển của phần mềm độc hại, với mã nguồn có khả năng chấm dứt các quy trình tùy ý và ưu tiên các loại tệp để mã hóa dựa trên danh sách các tiện ích mở rộng được định cấu hình trước bởi kẻ tấn công.
Hơn nữa, quá trình thực thi ban đầu của ransomware dẫn đến việc nó thu thập thông tin hệ thống, được sử dụng để tạo mã nhận dạng duy nhất gần giống với ID Bot do phần mềm độc hại TrickBot tạo ra, ngoại trừ việc bổ sung trường tên người dùng Windows.
Các liên kết của Diavol tới TrickBot cũng bắt nguồn từ thực tế là các tiêu đề HTTP được sử dụng cho giao tiếp lệnh và điều khiển (C2) được thiết lập để thích nội dung tiếng Nga hơn, phù hợp với ngôn ngữ mà các nhà khai thác sử dụng.
Điểm giống nhau giữa hai mẫu ransomware liên quan đến quá trình đăng ký, trong đó máy nạn nhân sử dụng mã nhận dạng được tạo ở bước trước để tự đăng ký với máy chủ từ xa. Charlotte Hammond và Chris Caridi của IBM Security cho biết: “Việc đăng ký botnet này gần như giống hệt nhau trong cả hai mẫu được phân tích. “Sự khác biệt chính là URL đăng ký thay đổi từ https: //[server_address]/ bot / đăng ký https: //[server_address]/ BnpOnspQwtjCA / đăng ký. “
Nhưng không giống như biến thể đầy đủ chức năng, mẫu phát triển không chỉ có chức năng liệt kê và mã hóa tệp của nó chưa hoàn thành, nó còn mã hóa trực tiếp các tệp có phần mở rộng “.lock64” khi chúng gặp phải, thay vì dựa vào các lệnh gọi thủ tục không đồng bộ. Một sai lệch thứ hai được IBM phát hiện là tệp gốc không bị xóa mã hóa bài đăng, do đó không cần thiết phải có khóa giải mã.
Một manh mối khác liên kết phần mềm độc hại với các tác nhân đe dọa Nga là mã kiểm tra ngôn ngữ trên hệ thống bị nhiễm để lọc ra các nạn nhân ở Nga hoặc khu vực Cộng đồng các quốc gia độc lập (CIS), một chiến thuật đã được nhóm TrickBot áp dụng.
Các nhà nghiên cứu cho biết: “Sự hợp tác giữa các nhóm tội phạm mạng, các chương trình liên kết và tái sử dụng mã là tất cả các phần của nền kinh tế ransomware đang phát triển. “Mã Diavol tương đối mới trong lĩnh vực tội phạm mạng và ít khét tiếng hơn Ryuk hoặc Conti, nhưng nó có thể chia sẻ mối quan hệ với cùng một nhà khai thác và những người lập mã blackhat đằng sau hậu trường.”
