Vědci propojili vývojáře TrickBot s ransomwarem Diavol

Helga Smithčervenec 5, 2021Naposledy aktualizováno: červenec 5, 2021
32 2 přečtené minuty

Fortinet specialists published a zpráva, in which they argue that the creators of the well-known malware TrickBot (this hack group is usually called the Wizard Spider) may be involved in the development of a new Diavol ransomware.

Payloads of ransomware Diavol and Conti were deployed on various systems in early June 2021. It is noted that these ransomware are very similar and have a lot in common, from using asynchronous I/O operations during file encryption, k použití téměř identických parametrů příkazového řádku pro stejné funkce (například, vytváření protokolů, šifrování disků a síťových prostředků, scanning a network).

nicméně, experts still could not find a direct connection between the Diavol ransomware and the authors of TrickBot, moreover, našli řadu důležitých rozdílů. Například, Diavol does not have built-in checks that prevent payload from being triggered on systems in Russia and CIS countries. Taky, the new malware does not steal data before encryption.

The parameters used by the attackers, along with errors in the hard-coded configuration, hint that Diavol is a new tool in the arsenal of its operators, to which they are not yet fully accustomed.píší vědci.

Mezitím, the other day Kryptos Logic announced that it had found changes in the code of the TrickBot malware itself. Podle odborníků, since June 2021, TrickBot has been launching a new module on infected machines containing an updated version of the old banking component that tries to steal e-banking login credentials.

This component has been rewritten and now includes new methods for injecting malicious code into bank websites. Experts suggest that the new code is copied from the old Zeus banker: injections work by proxying traffic through a local SOCKS server. If online banking login pages are encountered in traffic, the traffic is modified to steal credentials or perform other malicious actions. It is assumed that in this way the developers of TrickBot are trying to compete with other banking Trojans and entice some of their customers.

TrickBot is one of the largest and most successful malware threats to date. Malware byl poprvé spatřen zpět 2015, krátce po sérii závažných zatýkání, které výrazně změnily složení hackerské skupiny Dyre.

V průběhu let, malware se vyvinul z klasického bankovního trojského koně určeného ke krádeži finančních prostředků z bankovních účtů na multifunkční kapátko, které šíří další hrozby (od těžařů po ransomware a krádeže informací).

Ransomware TrickBot a Diavol

Na podzim 2020, A large-scale operation was carried out aimed at eliminating TrickBot. Zúčastnili se ho orgány činné v trestním řízení, specialisté z týmu Microsoft Defender, nezisková organizace FS-ISAC, stejně jako ESET, Lumen, NTT a Symantec.

Toho času, many experts Vlády USA a Spojeného království that although Microsoft was able to disable the TrickBot infrastructure, s největší pravděpodobností to bude botnet “přežít” a nakonec jeho operátoři uvedou do provozu nové řídicí servery a budou pokračovat ve své činnosti. bohužel, this is exactly what happened.

Dovolte mi připomenout, že jsem také hovořil o tom MountLocker ransomware používá k navigaci v síti rozhraní Windows API.

Značky
Helga Smithčervenec 5, 2021Naposledy aktualizováno: červenec 5, 2021
32 2 přečtené minuty

Helga Smith

Vždy mě zajímaly počítačové vědy, zejména zabezpečení dat a téma, kterému se dnes říká "datová věda", od mých raných dospívajících. Před příchodem do týmu pro odstranění virů jako šéfredaktor, Pracoval jsem jako odborník na kybernetickou bezpečnost v několika společnostech, včetně jednoho z dodavatelů Amazonu. Další zkušenost: Mám výuku na univerzitách Arden a Reading.

zanechte odpověď

Tato stránka používá Akismet snížit spam. Přečtěte si, jak se váš komentář údaje zpracovávány.

Tlačítko Zpět nahoru