Vědci propojili vývojáře TrickBot s ransomwarem Diavol
Fortinet specialists published a zpráva, in which they argue that the creators of the well-known malware TrickBot (this hack group is usually called the Wizard Spider) may be involved in the development of a new Diavol ransomware.
Payloads of ransomware Diavol and Conti were deployed on various systems in early June 2021. It is noted that these ransomware are very similar and have a lot in common, from using asynchronous I/O operations during file encryption, k použití téměř identických parametrů příkazového řádku pro stejné funkce (například, vytváření protokolů, šifrování disků a síťových prostředků, scanning a network).
nicméně, experts still could not find a direct connection between the Diavol ransomware and the authors of TrickBot, moreover, našli řadu důležitých rozdílů. Například, Diavol does not have built-in checks that prevent payload from being triggered on systems in Russia and CIS countries. Taky, the new malware does not steal data before encryption.
Mezitím, the other day Kryptos Logic announced that it had found changes in the code of the TrickBot malware itself. Podle odborníků, since June 2021, TrickBot has been launching a new module on infected machines containing an updated version of the old banking component that tries to steal e-banking login credentials.
This component has been rewritten and now includes new methods for injecting malicious code into bank websites. Experts suggest that the new code is copied from the old Zeus banker: injections work by proxying traffic through a local SOCKS server. If online banking login pages are encountered in traffic, the traffic is modified to steal credentials or perform other malicious actions. It is assumed that in this way the developers of TrickBot are trying to compete with other banking Trojans and entice some of their customers.
TrickBot is one of the largest and most successful malware threats to date. Malware byl poprvé spatřen zpět 2015, krátce po sérii závažných zatýkání, které výrazně změnily složení hackerské skupiny Dyre.
V průběhu let, malware se vyvinul z klasického bankovního trojského koně určeného ke krádeži finančních prostředků z bankovních účtů na multifunkční kapátko, které šíří další hrozby (od těžařů po ransomware a krádeže informací).
Na podzim 2020, A large-scale operation was carried out aimed at eliminating TrickBot. Zúčastnili se ho orgány činné v trestním řízení, specialisté z týmu Microsoft Defender, nezisková organizace FS-ISAC, stejně jako ESET, Lumen, NTT a Symantec.
Toho času, many experts Vlády USA a Spojeného království that although Microsoft was able to disable the TrickBot infrastructure, s největší pravděpodobností to bude botnet “přežít” a nakonec jeho operátoři uvedou do provozu nové řídicí servery a budou pokračovat ve své činnosti. bohužel, this is exactly what happened.
Dovolte mi připomenout, že jsem také hovořil o tom MountLocker ransomware používá k navigaci v síti rozhraní Windows API.