Nowe oprogramowanie ransomware – Diavol

Grupa cyberprzestępcza stojąca za Trickbotem powiązana z nowym ransomware

Badacze bezpieczeństwa z FortiGuard Labs na początku czerwca 2021 r. zidentyfikowali nowe oprogramowanie ransomware – Diavol. Po analizie złośliwego oprogramowania okazało się, że za kolejnym ransomware stoi grupa Wizard Spider, która dotąd była kojarzona z botnetem Trickbot. Eksperci po przeanalizowaniu próbek ransomware Diavol i Conti doszli do wniosku, że są to próbki z tego samego szczepu, łączy je m.in. asynchroniczne szyfrowanie plików za pomocą operacji I/O i praktycznie identyczne parametry wiersza poleceń dla tych samych funkcjonalności. Natomiast ransomware Diavol nie ma wbudowanych mechanizmów kontrolnych, które uniemożliwiałyby uruchomienie ładunków w rosyjskich systemach docelowych, tak jak robi to Conti. Wygląda też na to, że Diavol nie ma możliwości eksfiltracji danych przed ich zaszyfrowaniem, co jest powszechną taktyką stosowaną przez gangi ransomware w celu podwójnego wymuszenia.

Możliwości oprogramowania ransomware Diavol

Zazwyczaj w oprogramowaniu ransomware są używane algorytmy symetryczne, które znacznie przyspieszają proces szyfrowania. Natomiast ransomware Diavol wykorzystuje algorytm szyfrowania asymetrycznego. Co więcej, twórcy tego ransomware nie zadbali o zaciemnienie jego kodu, tak więc jego wykrycie powinno być nieco prostsze. Główne procedury ransomware Diavol przechowuje w obrazach bitmapowych. Jak zatem przebiega atak? Na zaatakowanej maszynie ransomware wyodrębnia kod z sekcji obrazów i ładuje go do bufora z uprawnieniami do wykonania.

Kod, który wyodrębnia, zawiera 14 różnych procedur, które są wykonywane w następującej kolejności:

Utwórz identyfikator ofiary

Zainicjuj konfigurację

Zarejestruj się na serwerze C&C i zaktualizuj konfigurację

Zatrzymaj usługi i procesy

Zainicjuj klucz szyfrowania

Znajdź wszystkie dyski do zaszyfrowania

Znajdź pliki do zaszyfrowania

Zapobiegaj odzyskiwaniu, usuwając kopie w tle

Szyfruj

Zmień tapetę pulpitu

Tuż przed zakończeniem procesu szyfrowania ransomware Diavol zmienia tło zainfekowanego urządzenia na czarną tapetę z następującą wiadomością: Wszystkie twoje pliki zostały zaszyfrowane! Aby uzyskać więcej informacji, zobacz README-FOR-DECRYPT.txt

nowy ransomware diavol

Ransomware Diavol - czy przedsiębiorcy mają powody do obaw?

Rosyjska grupa Wizard Spider, która stoi za oprogramowaniem Diavol, wcześniej w swoich atakach posługiwała się oprogramowaniem ransomware Ryuk i Conti. Ataki ransomware tej grupy poprzedzało wykorzystanie botnetu Trickbot, którego zadaniem było uzyskanie dostępu administratora do kontrolera domeny i rozprzestrzenianie się za pośrednictwem sieci korporacyjnych. Trickbot potrafi również wykraść bazę danych Active Directory, tak aby zebrać jeszcze więcej poświadczeń sieciowych, których grupa może użyć podczas ataku. Trickbot jest szczególnie niebezpieczny dla przedsiębiorstw, gdyż błyskawicznie rozprzestrzenia się po sieci

Jak zabezpieczyć się przed ransomware Diavol?

Z raportu FortiGuard Labs poświęconego Diavol wynika, że ransomware został zablokowany przez rozwiązanie typu EDR. Rzeczywiście systemy Endpoint Detection and Response (EDR) są coraz bardziej istotne w zapewnieniu ochrony naszej sieci. Niestety samo oprogramowanie antywirusowe nie jest wystarczające, aby zapewnić nam ochronę przed nowymi szczepami ransomware, stąd rosnąca popularność narzędzi EDR, których zadaniem jest wykrywanie nietypowych aktywności w sieci i w razie konieczności blokowanie podejrzanych działań. Jesteś ciekaw jak takie rozwiązanie działa w praktyce? Zapraszamy na webinar, podczas którego nasz inżynier wyjaśni tajniki działania systemu EDR

Zapisz się na
newsletter

Zaufali nam:

Sprawdź jak ocenili nas klienci

5/5
Bezpieczeństwo sieci

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66

email: kontakt@vida.pl

Rozwiązania IT

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66
email: kontakt@vida.pl
F-Secure
Dołącz do newslettera i otrzymaj roczną ochronę antywirusową F-Secure Internet Security. Klucz uprawnia do korzystania z rocznej, pełnej wersji oprogramowania, którą możesz zainstalować na 3 urządzeniach z systemem Windows. Wystarczy, że: