TrickBot 僵尸网络发现部署了一种名为 Diavol 的新型勒索软件

根据最新研究,臭名昭著的TrickBot恶意软件背后的威胁参与者与一种名为“Diavol”的新型勒索软件有关。

Fortinet 的 FortiGuard 实验室的研究人员上周表示,本月早些时候,Diavol 和 Conti 勒索软件有效载荷部署在不同的系统上,以应对针对其客户之一的攻击失败。

TrickBot 是 2016 年首次检测到的银行木马,传统上一直是基于 Windows 的犯罪软件解决方案,它采用不同的模块在目标网络上执行广泛的恶意活动,包括凭据盗窃和进行勒索软件攻击。

尽管执法部门努力消除 bot 网络,但不断发展的恶意软件已被证明是一种弹性威胁,俄罗斯运营商(被称为“ Wizard Spider ”)迅速调整新工具以进行进一步攻击。

TrickBot 僵尸网络发现部署了一种名为 Diavol 的新型勒索软件

据说 Diavol 迄今已在一次事件中被部署到野外。入侵的来源仍然未知。不过,很明显的是,payload 的源代码与 Conti 的源代码有相似之处,即使发现其勒索信重复使用了 Egregor 勒索软件的某些语言。

“作为相当独特的加密程序的一部分,Diavol 使用用户模式异步程序调用 (APC) 运行,而不使用对称加密算法,”研究人员说。“通常,勒索软件作者的目标是在最短的时间内完成加密操作。非对称加密算法不是显而易见的选择,因为它们[比]对称算法慢得多。”

勒索软件突出的另一个方面是它依赖反分析技术以位图图像的形式混淆其代码,从那里将例程加载到具有执行权限的缓冲区中。

在使用勒索消息锁定文件和更改桌面墙纸之前,Diavol 执行的一些主要功能包括将受害设备注册到远程服务器、终止正在运行的进程、在系统中查找要加密的本地驱动器和文件以及防止通过删除卷影副本来恢复。

TrickBot 僵尸网络发现部署了一种名为 Diavol 的新型勒索软件

正如Kryptos Logic 威胁情报团队所详述的那样,Wizard Spider 的新生勒索软件努力也与“TrickBot webinject 模块的新发展”相吻合,这表明出于经济动机的网络犯罪组织仍在积极重组其恶意软件库。

“TrickBot 带回了他们的银行欺诈模块,该模块已更新以支持 Zeus 风格的 webinjects,”网络安全研究员 Marcus Hutchins发推文说。“这可能表明他们正在恢复他们的银行欺诈操作,并计划扩大对那些不熟悉其内部 webinject 格式的人的访问。”