Xakep #305. Многошаговые SQL-инъекции
Представители ФБР официально подтверждают, что шифровальщик Diavol («дьявол» по-румынски) связан с группой TrickBot, разрабатывающей одноименный банковский троян.
Еще в прошлом году аналитики Fortinet писали, что пейлоады шифровальщиков Diavol и Conti, развернутые в различных системах в начале июня 2021 года, были очень похожи, и их объединяло многое, от использования операций асинхронного I/O во время шифрования файлов, до использования практически идентичных параметров командной строки для одинаковых функций (например, создание логов, шифрование дисков и сетевых ресурсов, сканирование сети).
Однако прямой связи между вымогателем Diavol и авторами TrickBot эксперты все же найти не сумели, к тому же обнаружив ряд немаловажных различий. К примеру, изученный ими образец Diavol не имел встроенных проверок, предотвращающих срабатывание пейлоада на системах в России и странах СНГ. Также малварь не похищала данные перед шифрованием.
Позже специалисты IBM X-Force тоже изучили образец Diavol и сообщили, что они нашли ряд новых доказательств, которые связывают Diavol с разработчиками TrickBot. В отличие от образца, проанализированного Fortinet, который был более новым и «полностью функциональным», эксперты IBM X-Force нашли более старый вариант малвари, который применялся злоумышленниками для тестирования.
В итоге в IBM X-Force пришли к тем же выводам, заметив, что Diavol и TrickBot явно связаны между собой.
Как теперь сообщили официальные представители ФБР, специалисты были полностью правы.
«ФБР впервые узнало о программе-вымогателе Diavol в октябре 2021 года. Diavol связан с разработчиками из группировки Trickbot, которые несут ответственность за банковский троян Trickbot», — пишут правоохранители.
Также ФБР сообщает, что операторы Diavol обычно требуют выкуп в размере от 10 000 до 500 000 долларов США, причем после переговоров со злоумышленниками к оплате обычно принимаются меньшие суммы.
ФБР также призывает всех жертв, независимо от того, планируют ли они платить выкуп злоумышленникам, своевременно уведомлять правоохранительные органы об атаках для сбора свежих индикаторов компрометации.
Издание Bleeping Computer полагает, что ФБР сумело официально связать Diavol с TrickBot после ареста латвийки Аллы Витте, участвовавшей в разработке шифровальщика для хак-группы. Глава компании AdvIntel Виталий Кремез , давно отслеживавший операции TrickBot, подтвердил журналистам, что Витте отвечала за разработку нового вымогателя, связанного с TrickBot.
«Алла Витте сыграла решающую роль в операциях TrickBot и, основываясь на предыдущем глубоком анализе AdvIntel, она отвечала за разработку программы-вымогателя Diavol и frontend/backend проекта, предназначенного для поддержки операций TrickBot со специальным шифровальщиком, — сказал Кремез. — Другое название вымогателя Diavol — Enigma, которое использовала команда TrickBot до ребрендинга в Diavol».