Los investigadores vincularon a los desarrolladores de TrickBot con el ransomware Diavol

Helga Smithjulio 5, 2021Última actualización: julio 5, 2021

32 2 minutos de lectura

Los especialistas de Fortinet publicaron un reporte, en el que argumentan que los creadores del conocido malware TrickBot (este grupo de piratería se suele llamar Wizard Spider) puede estar involucrado en el desarrollo de un nuevo ransomware Diavol.

Las cargas útiles de ransomware Diavol y Conti se implementaron en varios sistemas a principios de junio 2021. Cabe señalar que estos ransomware son muy similares y tienen mucho en común, de usar operaciones de E / S asincrónicas durante el cifrado de archivos, a usar parámetros de línea de comando casi idénticos para las mismas funciones (por ejemplo, creando registros, cifrar discos y recursos de red, escaneando una red).

sin embargo, los expertos aún no pudieron encontrar una conexión directa entre el ransomware Diavol y los autores de TrickBot, es más, encontraron una serie de diferencias importantes. Por ejemplo, Diavol no tiene controles integrados que eviten que se active la carga útil en los sistemas de Rusia y países de la CEI.. también, el nuevo malware no roba datos antes del cifrado.

Los parámetros utilizados por los atacantes, junto con errores en la configuración codificada, insinuar que Diavol es una nueva herramienta en el arsenal de sus operadores, a los que aún no están del todo acostumbrados.los investigadores escriben.

Entretanto, el otro día, Kryptos Logic anunció que había encontrado cambios en el código del propio malware TrickBot. Según los expertos, desde junio 2021, TrickBot ha lanzado un nuevo módulo en las máquinas infectadas que contiene una versión actualizada del antiguo componente bancario que intenta robar las credenciales de inicio de sesión de la banca electrónica..

Este componente se ha reescrito y ahora incluye nuevos métodos para inyectar código malicioso en los sitios web de los bancos.. Los expertos sugieren que el nuevo código se copia del antiguo banquero de Zeus: Las inyecciones funcionan mediante el proxy del tráfico a través de un servidor local de SOCKS.. Si las páginas de inicio de sesión de la banca en línea se encuentran en el tráfico, el tráfico se modifica para robar credenciales o realizar otras acciones maliciosas. Se supone que de esta forma los desarrolladores de TrickBot están intentando competir con otros troyanos bancarios y atraer a algunos de sus clientes..

TrickBot es una de las amenazas de malware más grandes y exitosas hasta la fecha. El malware se detectó por primera vez en 2015, poco después de una serie de arrestos de alto perfil que cambiaron significativamente la composición del grupo de piratas de Dyre.

A través de los años, El malware ha evolucionado de un troyano bancario clásico diseñado para robar fondos de cuentas bancarias a un cuentagotas multifuncional que propaga otras amenazas. (desde mineros hasta ransomware y ladrones de información).

TrickBot y Diavol ransomware

En la caída de 2020, a Operación Gran Escala se llevó a cabo con el objetivo de eliminar TrickBot. Asistieron agencias de aplicación de la ley., especialistas del equipo de Microsoft Defender, la organización sin fines de lucro FS-ISAC, así como ESET, Lumen, NTT y Symantec.

En ese tiempo, muchos expertos escribió que aunque Microsoft pudo deshabilitar la infraestructura de TrickBot, lo más probable es que la botnet “sobrevivir” y eventualmente sus operadores pondrán en funcionamiento nuevos servidores de control y continuarán su actividad. Desafortunadamente, Esto es exactamente lo que pasó.

Déjame recordarte que también hablé sobre el hecho de que MountLocker ransomware utiliza la API de Windows para navegar por la red.

Etiquetas