Grupa cyberprzestępcza stojąca za Trickbotem powiązana z nowym ransomware
Badacze bezpieczeństwa z FortiGuard Labs na początku czerwca 2021 r. zidentyfikowali nowe oprogramowanie ransomware – Diavol. Po analizie złośliwego oprogramowania okazało się, że za kolejnym ransomware stoi grupa Wizard Spider, która dotąd była kojarzona z botnetem Trickbot. Eksperci po przeanalizowaniu próbek ransomware Diavol i Conti doszli do wniosku, że są to próbki z tego samego szczepu, łączy je m.in. asynchroniczne szyfrowanie plików za pomocą operacji I/O i praktycznie identyczne parametry wiersza poleceń dla tych samych funkcjonalności. Natomiast ransomware Diavol nie ma wbudowanych mechanizmów kontrolnych, które uniemożliwiałyby uruchomienie ładunków w rosyjskich systemach docelowych, tak jak robi to Conti. Wygląda też na to, że Diavol nie ma możliwości eksfiltracji danych przed ich zaszyfrowaniem, co jest powszechną taktyką stosowaną przez gangi ransomware w celu podwójnego wymuszenia.
Możliwości oprogramowania ransomware Diavol
Zazwyczaj w oprogramowaniu ransomware są używane algorytmy symetryczne, które znacznie przyspieszają proces szyfrowania. Natomiast ransomware Diavol wykorzystuje algorytm szyfrowania asymetrycznego. Co więcej, twórcy tego ransomware nie zadbali o zaciemnienie jego kodu, tak więc jego wykrycie powinno być nieco prostsze. Główne procedury ransomware Diavol przechowuje w obrazach bitmapowych. Jak zatem przebiega atak? Na zaatakowanej maszynie ransomware wyodrębnia kod z sekcji obrazów i ładuje go do bufora z uprawnieniami do wykonania.
Kod, który wyodrębnia, zawiera 14 różnych procedur, które są wykonywane w następującej kolejności:
Utwórz identyfikator ofiary
Zainicjuj konfigurację
Zarejestruj się na serwerze C&C i zaktualizuj konfigurację
Zatrzymaj usługi i procesy
Zainicjuj klucz szyfrowania
Znajdź wszystkie dyski do zaszyfrowania
Znajdź pliki do zaszyfrowania
Zapobiegaj odzyskiwaniu, usuwając kopie w tle
Szyfruj
Zmień tapetę pulpitu
Tuż przed zakończeniem procesu szyfrowania ransomware Diavol zmienia tło zainfekowanego urządzenia na czarną tapetę z następującą wiadomością: Wszystkie twoje pliki zostały zaszyfrowane! Aby uzyskać więcej informacji, zobacz README-FOR-DECRYPT.txt
Ransomware Diavol - czy przedsiębiorcy mają powody do obaw?
Rosyjska grupa Wizard Spider, która stoi za oprogramowaniem Diavol, wcześniej w swoich atakach posługiwała się oprogramowaniem ransomware Ryuk i Conti. Ataki ransomware tej grupy poprzedzało wykorzystanie botnetu Trickbot, którego zadaniem było uzyskanie dostępu administratora do kontrolera domeny i rozprzestrzenianie się za pośrednictwem sieci korporacyjnych. Trickbot potrafi również wykraść bazę danych Active Directory, tak aby zebrać jeszcze więcej poświadczeń sieciowych, których grupa może użyć podczas ataku. Trickbot jest szczególnie niebezpieczny dla przedsiębiorstw, gdyż błyskawicznie rozprzestrzenia się po sieci.
Jak zabezpieczyć się przed ransomware Diavol?
Z raportu FortiGuard Labs poświęconego Diavol wynika, że ransomware został zablokowany przez rozwiązanie typu EDR. Rzeczywiście systemy Endpoint Detection and Response (EDR) są coraz bardziej istotne w zapewnieniu ochrony naszej sieci. Niestety samo oprogramowanie antywirusowe nie jest wystarczające, aby zapewnić nam ochronę przed nowymi szczepami ransomware, stąd rosnąca popularność narzędzi EDR, których zadaniem jest wykrywanie nietypowych aktywności w sieci i w razie konieczności blokowanie podejrzanych działań. Jesteś ciekaw jak takie rozwiązanie działa w praktyce? Zapraszamy na webinar, podczas którego nasz inżynier wyjaśni tajniki działania systemu EDR.
