Diavol新生勒索软件与臭名昭著的TrickBot关联的新证据分析

网络安全研究人员披露了有关一种名为Diavol的新生勒索软件样本的早期开发版本的详细信息，该版本与臭名昭著的 TrickBot 集团背后的威胁行为者有关。

IBM X-Force的最新调查结果表明，勒索软件样本与其他归因于网络犯罪团伙的恶意软件有相似之处，从而在两者之间建立了更清晰的联系。

7 月初，Fortinet披露了一次不成功的勒索软件攻击的细节，该攻击涉及 Diavol 有效载荷针对其客户之一，强调有效载荷的源代码与 Conti 的源代码重叠，并在其赎金说明中重用了 Egregor 勒索软件中的某些语言。

“作为相当独特的加密过程的一部分，Diavol 使用用户模式异步过程调用 (APC) 进行操作，而不使用对称加密算法，”Fortinet 研究人员此前表示。“通常，勒索软件作者的目标是在最短的时间内完成加密操作。非对称加密算法不是显而易见的选择，因为它们[比]对称算法慢得多。”

现在，对早期 Diavol 样本（于 2020 年 3 月 5 日编译并于 2021 年 1 月 27 日提交给 VirusTotal）的评估揭示了对恶意软件开发过程的见解，其源代码能够终止任意进程并优先处理文件类型基于攻击者定义的预配置扩展列表进行加密。

更重要的是，勒索软件的初始执行会导致它收集系统信息，用于生成与 TrickBot 恶意软件生成的 Bot ID 几乎相同的唯一标识符，除了添加了 Windows 用户名字段。

两个勒索软件样本之间的一个相似点涉及注册过程，其中受害计算机使用在上一步中创建的标识符向远程服务器注册自己。IBM Security 的 Charlotte Hammond 和 Chris Caridi 说：“在分析的两个样本中，这种僵尸网络的注册几乎相同。” “主要区别在于注册 URL 从 https://[server_address]/bots/register 更改为 https://[server_address]/BnpOnspQwtjCA/register。”

但与全功能变体不同的是，开发示例不仅没有完成其文件枚举和加密功能，还直接在遇到扩展名为“.lock64”的文件时对其进行加密，而不是依赖于异步过程调用。IBM 检测到的第二个偏差是原始文件在加密后没有被删除，因此不需要解密密钥。

Diavol 与 TrickBot 的链接也归结为这样一个事实，即用于命令和控制 (C2) 通信的 HTTP 标头设置为更喜欢俄语内容，这与操作员使用的语言相匹配。

将恶意软件与俄罗斯威胁行为者联系起来的另一个线索是检查受感染系统上的语言以过滤掉俄罗斯或独联体 (CIS) 地区受害者的代码，这是 TrickBot 组织采用的一种已知策略。

研究人员说：“网络犯罪集团、附属程序和代码重用之间的合作都是不断增长的勒索软件经济的一部分。” “Diavol 代码在网络犯罪领域相对较新，不像 Ryuk 或 Conti 那样臭名昭著，但它可能与幕后的同一运营商和黑帽编码人员有联系。”