研究者はTrickBot開発者をDiavolランサムウェアとリンクさせました

Fortinetスペシャリストが公開しました 報告, 彼らは、有名なマルウェアトリックボットの作成者が (このハックグループは通常、ウィザードスパイダーと呼ばれます) 新しいDiavolランサムウェアの開発に関与している可能性があります.

ランサムウェアダイボールとコンティのペイロードは、6月上旬にさまざまなシステムに展開されました 2021. これらのランサムウェアは非常に似ており、多くの共通点があることに注意してください, ファイル暗号化中に非同期I/O操作を使用することから, 同じ機能にほぼ同じコマンドラインパラメータを使用する (例えば, ログの作成, ディスクとネットワークリソースの暗号化, ネットワークのスキャン).

しかしながら, 専門家は、DiavolランサムウェアとTrickbotの著者との間に直接的なつながりを見つけることができませんでした, さらに, 彼らは多くの重要な違いを見つけました. 例えば, Diavolには、ロシアおよびCIS諸国のシステムでペイロードがトリガーされるのを防ぐ組み込みチェックがありません. さらに, 新しいマルウェアは、暗号化前にデータを盗んでいません.

その間, 先日、クリプトスロジックはそれを発表しました 変更が見つかりました Trickbotマルウェア自体のコード. 専門家によると, 6月以来 2021, Trickbotは、電子バンキングログイン資格情報を盗もうとする古い銀行コンポーネントの更新バージョンを含む感染したマシン上の新しいモジュールを起動しています.

このコンポーネントは書き直されており、悪意のあるコードを銀行のウェブサイトに注入するための新しい方法が含まれています. 専門家は、新しいコードが古いゼウスバンカーからコピーされることを示唆しています: インジェクションはローカルソックスサーバーを介してトラフィックをプロキシすることで機能します. トラフィックでオンラインバンキングログインページに遭遇した場合, トラフィックは資格情報を盗むか、他の悪意のあるアクションを実行するために変更されます. このようにして、Trickbotの開発者が他の銀行トロイの木馬と競争し、顧客の一部を誘惑しようとしていると想定されています.

Trickbotは、これまでで最大かつ最も成功したマルウェアの脅威の1つです. マルウェアは最初に発見されました 2015, Dyreハッキンググループの構成を大幅に変更した一連の注目を集める逮捕の直後.

長年にわたって, マルウェアは、銀行口座から資金を盗むように設計された従来のバンキング型トロイの木馬から、他の脅威を拡散する多機能ドロッパーに進化しました。 (鉱夫からランサムウェアや情報スティーラーまで).

の秋に 2020, A 大規模な操作 Trickbotを排除することを目的とした実行されました. 法執行機関が出席しました, MicrosoftDefenderチームのスペシャリスト, 非営利団体FS-ISAC, ESETと同様, ルーメン, NTTとSymantec.

その時, 多くの専門家 フォーティネット マイクロソフトはトリックボットインフラストラクチャを無効にすることができましたが, ほとんどの場合、ボットネットは “生き延びる” そして最終的には、そのオペレーターは新しい制御サーバーを運用し、活動を継続します. 不運にも, これがまさに起こったことです.

私もその事実について話したことを思い出させてください MountLocker ランサムウェアは Windows API を使用してネットワークをナビゲートします.