Os pesquisadores vincularam os desenvolvedores do TrickBot ao ransomware Diavol
Os especialistas da Fortinet publicaram um relatório, em que eles argumentam que os criadores do conhecido malware TrickBot (este grupo de hack é geralmente chamado de Wizard Spider) pode estar envolvido no desenvolvimento de um novo ransomware Diavol.
Cargas úteis de ransomware Diavol e Conti foram implantadas em vários sistemas no início de junho 2021. É de notar que estes ransomware são muito semelhantes e têm muito em comum, de usar operações de E / S assíncronas durante a criptografia de arquivos, a usar parâmetros de linha de comando quase idênticos para as mesmas funções (por exemplo, criando logs, criptografar discos e recursos de rede, escaneando uma rede).
Contudo, especialistas ainda não conseguiram encontrar uma conexão direta entre o ransomware Diavol e os autores do TrickBot, além disso, eles encontraram uma série de diferenças importantes. Por exemplo, Diavol não tem verificações embutidas que evitam que a carga útil seja acionada em sistemas na Rússia e países da CEI. Além disso, o novo malware não rouba dados antes da criptografia.
Enquanto isso, outro dia, a Kryptos Logic anunciou que encontrou mudanças no código do próprio malware TrickBot. De acordo com os especialistas, desde junho 2021, O TrickBot lançou um novo módulo em máquinas infectadas contendo uma versão atualizada do antigo componente de banco que tenta roubar credenciais de login de e-banking.
Este componente foi reescrito e agora inclui novos métodos para injetar código malicioso em sites de bancos. Os especialistas sugerem que o novo código seja copiado do antigo banco do Zeus: as injeções funcionam através do proxy do tráfego por meio de um servidor SOCKS local. Se páginas de login de banco online forem encontradas no tráfego, o tráfego é modificado para roubar credenciais ou realizar outras ações maliciosas. Presume-se que, desta forma, os desenvolvedores do TrickBot estão tentando competir com outros cavalos de Troia bancários e atrair alguns de seus clientes.
TrickBot é uma das maiores e mais bem-sucedidas ameaças de malware até hoje. O malware foi detectado pela primeira vez em 2015, logo após uma série de prisões de alto nível que mudaram significativamente a composição do grupo de hack Dyre.
Ao longo dos anos, o malware evoluiu de um cavalo de Tróia bancário clássico projetado para roubar fundos de contas bancárias para um conta-gotas multifuncional que espalha outras ameaças (de mineiros a ransomware e ladrões de informações).
No outono de 2020, uma operação em grande escala foi realizado com o objetivo de eliminar o TrickBot. Estiveram presentes agências de aplicação da lei, especialistas da equipe Microsoft Defender, a organização sem fins lucrativos FS-ISAC, bem como ESET, Lúmen, NTT e Symantec.
Naquela hora, muitos especialistas escreveu que embora a Microsoft tenha sido capaz de desabilitar a infraestrutura TrickBot, provavelmente o botnet irá “sobreviver” e eventualmente seus operadores colocarão em operação novos servidores de controle e continuarão sua atividade. Infelizmente, isso é exatamente o que aconteceu.
Deixe-me lembrá-lo de que também falei sobre o fato de MountLocker ransomware usa a API do Windows para navegar na rede.