FBI ostrzega i potwierdza, że oprogramowanie ransomware Diavol używa tej samej metody, co złośliwe oprogramowanie Trickbot – jego głównym celem jest penetracja i rozprzestrzenianie się w sieciach lokalnych. Następnie jest wykorzystywany do różnych zadań — jak chociażby odsprzedaż dostępu do infrastruktury korporacyjnej innym atakującym, po kradzież poufnych danych.
Co zbiera Trickbot:
oraz Trickbot Anchor DNS – jest to narzędzie do wysyłania i odbierania danych z zaatakowanych maszyn za pomocą tunelowania DNS (Domain Name System)
Trickbot jest bardzo odporny i bardzo zwinny. Nadal rozwija swoją platformę i infrastrukturę. Dodanie ICMP jako potencjalnego kanału C2 tylko wzmacnia moduł i poprawia zdolność Trickbota do pozostawania zarówno trwałym, jak i ukrytym. Nawet ostatnie próby zakłócenia Trickbota okazały się tylko nieznacznie skuteczne i to przez ograniczony czas. Nie można wystarczająco podkreślić, że hakerzy stojący za tymi kampaniami mają bardzo dobre zasoby, bardzo dobrze obsadzony personel i będą koncentrować się na celach z zaniedbanym bezpieczeństwem infrastruktury. Obrona przed tymi zagrożeniami wymaga podobnie zwinnej kontroli, obrony warstwowej, która powinna ewoluować – stwierdza SentinelOne.
FBI ma szczegółowe dowody łączące nowe oprogramowanie ransomware Diavol z TrickBot Group, z gangiem stojącym za trojanem bankowym o tej samej nazwie.
Diavol trafił na radary badaczy w połowie 2021 roku, kiedy Fortinet opublikował analizę techniczną Diavola, która ustanowiła pewne powiązania z Wizard Spider, inną nazwą Trickbot Group, którą badacze również śledzą w związku z oprogramowaniem ransomware „z podwójnym wymuszeniem” Ryuk.
Ryuk jest selektywnie wykorzystywany przeciwko celom o wysokiej wartości, które są przedmiotem podwójnego wymuszenia, w którym dane są szyfrowane, kradzione, a następnie potencjalnie wyciekają, chyba że zostanie zapłacony okup.
Narzędzia Trickbota obejmują backdoor Anchor_DNS, narzędzie do przesyłania danych między komputerami ofiar a serwerami kontrolowanymi przez Trickbota przy użyciu tunelowania DNS (Domain Name System) w celu ukrycia złośliwego ruchu przy normalnym ruchu DNS.
FBI rozpracowuje Diavol od października. Jego powiązanie między Diavol i Trickbotem polega na tym, że unikalny identyfikator bota generowany przez Diavol dla każdej ofiary jest „prawie identyczny” z formatem używanym przez złośliwe oprogramowanie Trickbot i Anchor_DNS. Po wygenerowaniu identyfikatora bota przez Diavol, pliki na tym komputerze są szyfrowane i dołączane z rozszerzeniem pliku „.lock64”, a komputer wyświetla wiadomość z żądaniem okupu.
„Diavol jest powiązany z programistami z Trickbot Group, którzy są odpowiedzialni za trojana bankowego Trickbot” – podało FBI w swojej notatce, ostrzegając, że widzi żądania wymuszenia do 500 000 dolarów.
W przeciwieństwie do Ryuka, FBI nie widziało danych ofiar wycieku Diavol, pomimo wiadomości grupy zawierającej groźby, że to zrobią. Nota o okupie Diavol stwierdza:
„Weź pod uwagę, że pobraliśmy również dane z Twojej sieci
W przypadku nie dokonania wpłaty zostanie opublikowany na naszej stronie.”
„Diavol szyfruje pliki wyłącznie przy użyciu klucza szyfrowania RSA, a jego kod jest w stanie ustalić priorytety typów plików do zaszyfrowania na podstawie wstępnie skonfigurowanej listy rozszerzeń zdefiniowanych przez atakującego” — powiedziało FBI.
„Podczas gdy żądania okupu wahały się od 10 000 do 500 000 USD, hakerzy Diavol byli gotowi zaangażować ofiary w negocjacje dotyczące okupu i zaakceptować niższe płatności”.
Chociaż FBI przyznaje, że niektóre zaatakowane firmy wynegocjowały okupy z aktorami Diavol, nadal odradza zawieranie umów, ponieważ nie gwarantuje odzyskania plików i odradza zapłatę, ponieważ może to ośmielić atakujących i sfinansować przyszłe ataki.
Z drugiej strony FBI wyraża współczucie dla ofiar, które negocjują z napastnikami.
„FBI rozumie, że gdy ofiary stają w obliczu niezdolności do funkcjonowania, wszystkie opcje są oceniane w celu ochrony akcjonariuszy, pracowników i klientów. FBI może być w stanie zapewnić zasoby łagodzące zagrożenia osobom dotkniętym przez oprogramowanie ransomware Diavol” – napisano.
FBI wzywa również organizacje do udostępnienia im „dzienników pokazujących komunikację do i z obcych adresów IP, informacji o portfelu Bitcoin, pliku deszyfrującego i/lub łagodnej próbki zaszyfrowanego pliku”.
Jednak zapewnienie środków łagodzących to coś innego niż pomoc w odzyskaniu wypłaconych środków. W przypadku Colonial Pipeline, FBI i Departament Sprawiedliwości odzyskały około połowy wyłudzonych środków, korzystając z publicznej księgi Bitcoin, po prześledzeniu płatności z powrotem do „konkretnego adresu, dla którego FBI ma „prywatny klucz” lub przybliżony odpowiednik hasła potrzebnego do uzyskania dostępu do zasobów dostępnych z konkretnego adresu Bitcoin.”
Ale nie każda organizacja jest dostawcą infrastruktury krytycznej, która zasługuje na uwagę Białego Domu, który wezwał Kreml do podjęcia działań przeciwko atakom ransomware zlokalizowanym w Rosji. Rosyjskie władze w zeszłym tygodniu przeprowadziły nalot na członków gangu REvil, który ma powiązania z DarkSide.