Обнаружены новые свидетельства связи вымогателя Diavol с группировкой TrickBot

Обнаружены новые свидетельства связи вымогателя Diavol с группировкой TrickBot

Сходство между Diavol и TrickBot заключается в том, что HTTP-заголовки для C&C-сервера настроены на русскоязычный контент.

Исследователи в области кибербезопасности из IBM X-Force раскрыли подробности о ранней версии вымогательского ПО под названием Diavol. Находки специалистов проливают свет на связь между Diavol и операторами ботнета TrickBot.

По словам исследователей из IBM X-Force, образец вымогателя имеет сходство с другими вредоносными программами операторов TrickBot, что позволяет установить более четкую связь между ними.

В начале июля нынешнего года Fortinet раскрыла особенности неудачной атаки вымогателя с использованием полезной нагрузки Diavol, нацеленной на одного из своих клиентов, подчеркнув, что исходный код полезной нагрузки перекрывается с кодом Conti и методами Egregor.

«Как часть процедуры шифрования, Diavol использует асинхронные вызовы процедур (APC) в пользовательском режиме без симметричного алгоритма шифрования. Обычно авторы программ-вымогателей стремятся завершить операцию шифрования в кратчайшие сроки. Асимметричные алгоритмы шифрования — не очевидный выбор, поскольку они работают значительно медленнее, чем симметричные алгоритмы», — сообщили эксперты.

Как показали результаты анализа новой версии Diavol, вредонос способен завершать произвольные процессы и назначать приоритеты типам файлов для шифрования на основе предварительно настроенного списка расширений, составленного злоумышленником. Выполнение программы-вымогателя начинается со сбора системной информации, которая используется для генерации уникального идентификатора, почти идентичного идентификатору ботнета TrickBot, за исключением добавления поля имени пользователя Windows.

Сходство между Diavol и TrickBot также заключается в том, что HTTP-заголовки, используемые для C&C-сервера, настроены отдавать предпочтение русскоязычному контенту.

Как отметили эксперты, в Diavol используется код для проверки языка на зараженной системе с целью фильтрации жертв в России или в регионе Содружества Независимых Государств (СНГ). Как известно, данная тактика была присуща группировке TrickBot.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!