Специалисты IBM X-Force изучили новый образец вымогателя Diavol («дьявол» по-румынски), который продемонстрировал четкую связь малвари с разработчиками ботнета TrickBot (эту хак-группу обычно называют Wizard Spider). Это уже второй раз, когда исследователи заявляют о связи этих двух вредоносов. Первыми аналогичную теорию в прошлом месяце высказали исследователи компании Fortinet.

Напомню, что аналитики Fortinet писали, что пейлоады шифровальщиков Diavol и Conti, развернутые в различных системах в начале июня 2021 года, были очень похожи, и их объединяло многое, от использования операций асинхронного I/O во время шифрования файлов, до использования практически идентичных параметров командной строки для одинаковых функций (например, создание логов, шифрование дисков и сетевых ресурсов, сканирование сети).

Однако прямой связи между вымогателем Diavol и авторами TrickBot эксперты все же найти не сумели, к тому же обнаружив ряд немаловажных различий. К примеру, изученный ими образец Diavol не имел встроенных проверок, предотвращающих срабатывание пейлоада на системах в России и странах СНГ. Также малварь  не похищала данные перед шифрованием.

Теперь специалисты IBM X-Force пишут, что они нашли ряд новых доказательств, которые связывают Diavol с разработчиками TrickBot. В отличие от образца, проанализированного Fortinet, который был более новым и «полностью функциональным», эксперты IBM X-Force  нашли более старый вариант малвари, который применялся злоумышленниками для тестирования. Эта версия попала на Virus Total 27 января 2021 года, а заявленная дата ее компиляции — 5 марта 2020 года (дата компиляции образца Fortinet — 30 апреля 2021 года).

Старый вариант Diavol собирал основную информацию из зараженной системы и генерировал ID системы, который помогал злоумышленникам отслеживать взломы, осуществленные их партнерами, работающими в рамках схемы «вымогатель-как-услуга» (RaaS).Формат этого идентификатора включал имя хоста, имя пользователя и версию Windows скомпрометированной системы, а также GUID. Аналитики отмечают, что такой формат практически идентичен формату, который использует TrickBot: [hostname]-[username]_W[windows _version].[guid]. Очень похожий шаблон ID использовала малварь Anchor DNS, которую так же связывают с TrickBot.

Кроме того, HTTP-заголовки для взаимодействия с управляющим сервером были «настроены таким образом, чтобы отдавать предпочтение контенту на русском языке», что тоже похоже на работу операторов TrickBot.

Интересно, что более старая версия Diavol проверяла язык зараженной системы и предотвращала срабатывание пейлоада на системах в России и странах СНГ. Хотя этого «предохранителя» не было в более новой версии, изученной Fortinet, эксперты IBM X-Force уверяют, что раньше он был в коде, а теперь по каким-то причинам неактивен в скомпилированной версии.

«Сотрудничество между киберпреступными группами, партнерские программы и повторное использование кода — все это части развивающейся экономики вымогателей. Код Diavol можно назвать сравнительно новым в сфере киберпреступности, он и менее известен, чем Ryuk или Conti, но, вероятно, связан с теми же операторами и держащимися в тени blackhat-кодерами», — резюмируют специалисты.

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии