Onderzoekers koppelden TrickBot-ontwikkelaars aan Diavol ransomware

Helga Smithjuli- 5, 2021Laatst bijgewerkt: juli- 5, 2021

32 2 minuten lezen

Fortinet specialists published a verslag doen van, in which they argue that the creators of the well-known malware TrickBot (this hack group is usually called the Wizard Spider) may be involved in the development of a new Diavol ransomware.

Payloads of ransomware Diavol and Conti were deployed on various systems in early June 2021. It is noted that these ransomware are very similar and have a lot in common, from using asynchronous I/O operations during file encryption, bijna identieke opdrachtregelparameters gebruiken voor dezelfde functies (bijvoorbeeld, logboeken maken, schijven en netwerkbronnen versleutelen, scanning a network).

Echter, experts still could not find a direct connection between the Diavol ransomware and the authors of TrickBot, moreover, ze vonden een aantal belangrijke verschillen. Bijvoorbeeld, Diavol does not have built-in checks that prevent payload from being triggered on systems in Russia and CIS countries. Ook, the new malware does not steal data before encryption.

The parameters used by the attackers, along with errors in the hard-coded configuration, hint that Diavol is a new tool in the arsenal of its operators, to which they are not yet fully accustomed.de onderzoekers schrijven.

Ondertussen, the other day Kryptos Logic announced that it had found changes in the code of the TrickBot malware itself. Volgens experts, since June 2021, TrickBot has been launching a new module on infected machines containing an updated version of the old banking component that tries to steal e-banking login credentials.

This component has been rewritten and now includes new methods for injecting malicious code into bank websites. Experts suggest that the new code is copied from the old Zeus banker: injections work by proxying traffic through a local SOCKS server. If online banking login pages are encountered in traffic, the traffic is modified to steal credentials or perform other malicious actions. It is assumed that in this way the developers of TrickBot are trying to compete with other banking Trojans and entice some of their customers.

TrickBot is one of the largest and most successful malware threats to date. Malware werd voor het eerst ontdekt in 2015, kort na een reeks spraakmakende arrestaties die de samenstelling van de Dyre-hackgroep aanzienlijk hebben veranderd.

Door de jaren heen, malware is geëvolueerd van een klassieke banktrojan die is ontworpen om geld van bankrekeningen te stelen tot een multifunctionele druppelaar die andere bedreigingen verspreidt (van miners tot ransomware en info-stealers).

TrickBot en Diavol ransomware

In de herfst van 2020, een large-scale operation was carried out aimed at eliminating TrickBot. Het werd bijgewoond door wetshandhavingsinstanties, specialisten van het Microsoft Defender-team, de vzw FS-ISAC, evenals ESET, Lumen, NTT en Symantec.

In die tijd, many experts De Amerikaanse en Britse regeringen that although Microsoft was able to disable the TrickBot infrastructure, hoogstwaarschijnlijk zal het botnet “overleven” en uiteindelijk zullen de operators nieuwe controleservers in gebruik nemen en hun activiteiten voortzetten. helaas, this is exactly what happened.

Laat me je eraan herinneren dat ik het ook had over het feit dat MountLocker ransomware gebruikt Windows API om door het netwerk te navigeren.