Os pesquisadores descobriram uma nova cepa de ransomware “Diavol” que possivelmente foi associada ao infame grupo de hackers TrickBot mais procurado.
O TrickBot tornou-se um dos principais Trojans bancários existentes e atacou uma ampla variedade de bancos internacionais e outras organizações usando injeções maliciosas na web.
Dadas as tendências atuais de segurança cibernética, o Ransomware é uma grande preocupação e atinge frequentemente organizações e indivíduos em todo o mundo.
A amostra de ransomware Diavol atualmente descoberta pela IBM X-Force não é familiar à amostra já existente que foi identificada pela Fortinet.
Mas isso é diferente da amostra Fortinet que foi totalmente funcional, transformada em arma e utilizada diretamente pelo invasor, mas parece uma versão de desenvolvimento do Diavol.
Os pesquisadores analisaram o código e levantaram um sinalizador de que ele possui uma configuração de rastreamento que é apreciada pelo grupo TrickBot.
Ao diferenciar ambas as amostras, indica que ambas foram compiladas em períodos de tempo diferentes (Amostra de desenvolvimento – Compilado em março 52020), (Amostra Ativa – Compilada em 30 de abril de 2021).
Vimos nos últimos dias que a colaboração entre grupos de crimes cibernéticos e o compartilhamento do código-fonte entre os grupos de ameaças fazem parte de uma economia crescente de ransomware.
Análise Técnica e Processo de Infecção
A análise aprofundada da amostra identificada revela que os invasores usam uma chave de criptografia RSA para criptografar os arquivos da vítima.
Antes de iniciar seu processo de execução, ele coleta as informações básicas sobre o sistema alvo, como windows detalhes da versão e do adaptador de rede.
Logo após ele tenta se comunicar com o servidor de comando e controle controlado pelo invasor, e cadastrar a máquina da vítima com um Group ID pré-configurado e o Bot ID que foi criado na etapa anterior.
Os pesquisadores da X-Force analisaram a amostra e encontraram a configuração codificada na sobreposição do arquivo executável portátil (PE), em vez da seção .data usada pela versão ativa mais recente.
Além disso, os elementos de configuração contêm a coleção de elementos semelhantes ao recurso de amostra ativo, como segue: –
- Endereço IP C2
- ID do grupo
- Chave pública RSA codificada em Base64
- Lista de nomes de processos para encerrar
- Lista de nomes de serviços a serem encerrados
- Uma lista de arquivos para evitar criptografia
- Uma lista de arquivos para criptografar
- Uma lista de arquivos para limpar
- Uma lista de arquivos prioritários para criptografar primeiro
- Texto de ransomware
Antes de iniciar o processo de criptografia, o Ransowmare encerra os processos e serviços no dispositivo infectado.
De acordo com relatório “Na amostra de desenvolvimento, o código para as funções de enumeração e criptografia de arquivos está claramente inacabado. A função de enumeração de arquivos foi projetada para primeiro criptografar arquivos na lista de prioridades configurada (que está vazia) e depois enumerar e criptografar arquivos no caminho codificado C:\TEST\. As funções relacionadas à enumeração de unidades lógicas e compartilhamentos de rede, como visto na amostra ativa mais recente, não foram implementadas.”
No processo de criptografia, igual à amostra ativa, a amostra atual é executada usando uma chave RSA e cria um novo arquivo com o caminho do arquivo de destino e anexa a extensão de arquivo ‘.lock64’.
Os pesquisadores observaram um comportamento que, na amostra ativa, relacionado à implantação de notas de resgate, limpeza de arquivos e exclusão de cópias de sombra de volume, não foi implementado na amostra de desenvolvimento.
Os hackers usaram o formato idêntico para gerar um Bot ID que foi visto no malware Anchor DNS associado ao Trickbot, e o mesmo formato foi visto no ransomware Diavol.
Além disso, os cabeçalhos HTTP usados para comunicação C2 são configurados para preferir o conteúdo no idioma russo, que corresponde ao idioma usado pelos operadores do TrickBot. Disse o pesquisador.
Você também pode ler: Lista de verificação de mitigação e resposta a ataques de ransomware
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
