FBI ostrzega: nowe oprogramowanie ransomware żąda nawet 500 000 USD okupu

FBI ostrzega i potwierdza, że ​​oprogramowanie ransomware Diavol używa tej samej metody, co złośliwe oprogramowanie Trickbot –  jego głównym celem jest penetracja i rozprzestrzenianie się w sieciach lokalnych. Następnie jest wykorzystywany do różnych zadań — jak chociażby odsprzedaż dostępu do infrastruktury korporacyjnej innym atakującym, po kradzież poufnych danych.

Co zbiera Trickbot:

1. Nazwy użytkowników, skróty haseł i inne informacje przydatne do ruchów w sieci z Active Directory.
2. Przechwytuje ruch sieciowy na zainfekowanym komputerze.
3. Zapewnia zdalne sterowanie urządzeniami za pośrednictwem protokołu VNC.
4. Kradnie pliki cookie z przeglądarek.
5. Wyłuskuje dane logowania z rejestru, baz danych różnych aplikacji i plików konfiguracyjnych, a także kradnie klucze prywatne, certyfikaty SSL i pliki danych dla portfeli kryptowalut.
6. Przechwytuje dane autouzupełniania z przeglądarek i informacje wprowadzane przez użytkowników w formularzach na stronach internetowych.
7. Skanuje pliki na serwerach FTP i SFTP.
8. Osadza szkodliwe skrypty na stronach internetowych.
9. Przekierowuje ruch przeglądarki przez lokalny serwer proxy.
10. Przejmuje interfejsy API odpowiedzialne za weryfikację łańcucha certyfikatów w celu sfałszowania wyników weryfikacji.
11. Zbiera dane logowania do profilu programu Outlook, przechwytuje wiadomości e-mail i wysyła spam za jego pośrednictwem.
12. Wyszukuje usługę OWA i łamie do niej dostęp.
13. Uzyskuje dostęp do sprzętu na niskim poziomie oraz na poziomie sprzętowym.
14. Skanuje domeny w poszukiwaniu luk w zabezpieczeniach.
15. Wyszukuje adresy serwerów baz danych SQL i wykonuje na nich zapytania wyszukiwania.
16. Rozprzestrzenia się poprzez exploity EternalRomance i EternalBlue.
17. Tworzy połączenia sieci VPN.

oraz Trickbot Anchor DNS – jest to narzędzie do wysyłania i odbierania danych z zaatakowanych maszyn za pomocą tunelowania DNS (Domain Name System)

• Alert ( AA20-302A ) mówi o aktywności ransomware ukierunkowanej na sektor opieki zdrowotnej i zdrowia publicznego: „W ramach nowego zestawu narzędzi Anchor, twórcy Trickbota stworzyli Anchor_DNS, narzędzie do wysyłania i odbierania danych z zaatakowanych maszyn za pomocą tunelowania systemu nazw domen (DNS) ”.
• Zespół odpowiedzialny za Trickbota intensywnie aktualizuje i wdraża różne moduły, w tym Anchor i Bazar Loader. Te ewolucyjne zmiany w Trickbocie poszerzają ich zasięg w cele o wysokiej wartości, w tym podmioty opieki zdrowotnej.
• Kontynuowane są prace nad projektem TrickBots Anchor, z dodatkowym wykorzystaniem ICMP do komunikacji dowodzenia i kontroli.

Trickbot jest bardzo odporny i bardzo zwinny. Nadal rozwija swoją platformę i infrastrukturę. Dodanie ICMP jako potencjalnego kanału C2 tylko wzmacnia moduł i poprawia zdolność Trickbota do pozostawania zarówno trwałym, jak i ukrytym. Nawet ostatnie próby zakłócenia Trickbota okazały się tylko nieznacznie skuteczne i to przez ograniczony czas. Nie można wystarczająco podkreślić, że hakerzy stojący za tymi kampaniami mają bardzo dobre zasoby, bardzo dobrze obsadzony personel i będą koncentrować się na celach z zaniedbanym bezpieczeństwem infrastruktury. Obrona przed tymi zagrożeniami wymaga podobnie zwinnej kontroli, obrony warstwowej, która powinna ewoluować – stwierdza SentinelOne.

FBI ma szczegółowe dowody łączące nowe oprogramowanie ransomware Diavol z TrickBot Group, z gangiem stojącym za trojanem bankowym o tej samej nazwie.

Diavol trafił na radary badaczy w połowie 2021 roku, kiedy Fortinet opublikował analizę techniczną Diavola, która ustanowiła pewne powiązania z Wizard Spider, inną nazwą Trickbot Group, którą badacze również śledzą w związku z oprogramowaniem ransomware „z podwójnym wymuszeniem” Ryuk.

Ryuk jest selektywnie wykorzystywany przeciwko celom o wysokiej wartości, które są przedmiotem podwójnego wymuszenia, w którym dane są szyfrowane, kradzione, a następnie potencjalnie wyciekają, chyba że zostanie zapłacony okup.

Narzędzia Trickbota obejmują backdoor Anchor_DNS, narzędzie do przesyłania danych między komputerami ofiar a serwerami kontrolowanymi przez Trickbota przy użyciu tunelowania DNS (Domain Name System) w celu ukrycia złośliwego ruchu przy normalnym ruchu DNS.

FBI rozpracowuje Diavol od października. Jego powiązanie między Diavol i Trickbotem polega na tym, że unikalny identyfikator bota generowany przez Diavol dla każdej ofiary jest „prawie identyczny” z formatem używanym przez złośliwe oprogramowanie Trickbot i Anchor_DNS. Po wygenerowaniu identyfikatora bota przez Diavol, pliki na tym komputerze są szyfrowane i dołączane z rozszerzeniem pliku „.lock64”, a komputer wyświetla wiadomość z żądaniem okupu.

„Diavol jest powiązany z programistami z Trickbot Group, którzy są odpowiedzialni za trojana bankowego Trickbot” – podało FBI w swojej notatce, ostrzegając, że widzi żądania wymuszenia do 500 000 dolarów.

W przeciwieństwie do Ryuka, FBI nie widziało danych ofiar wycieku Diavol, pomimo wiadomości grupy zawierającej groźby, że to zrobią. Nota o okupie Diavol stwierdza:

„Weź pod uwagę, że pobraliśmy również dane z Twojej sieci

W przypadku nie dokonania wpłaty zostanie opublikowany na naszej stronie.”

„Diavol szyfruje pliki wyłącznie przy użyciu klucza szyfrowania RSA, a jego kod jest w stanie ustalić priorytety typów plików do zaszyfrowania na podstawie wstępnie skonfigurowanej listy rozszerzeń zdefiniowanych przez atakującego” — powiedziało FBI.

„Podczas gdy żądania okupu wahały się od 10 000 do 500 000 USD, hakerzy Diavol byli gotowi zaangażować ofiary w negocjacje dotyczące okupu i zaakceptować niższe płatności”.

Chociaż FBI przyznaje, że niektóre zaatakowane firmy wynegocjowały okupy z aktorami Diavol, nadal odradza zawieranie umów, ponieważ nie gwarantuje odzyskania plików i odradza zapłatę, ponieważ może to ośmielić atakujących i sfinansować przyszłe ataki.

Z drugiej strony FBI wyraża współczucie dla ofiar, które negocjują z napastnikami.

„FBI rozumie, że gdy ofiary stają w obliczu niezdolności do funkcjonowania, wszystkie opcje są oceniane w celu ochrony akcjonariuszy, pracowników i klientów. FBI może być w stanie zapewnić zasoby łagodzące zagrożenia osobom dotkniętym przez oprogramowanie ransomware Diavol” – napisano.

FBI wzywa również organizacje do udostępnienia im „dzienników pokazujących komunikację do i z obcych adresów IP, informacji o portfelu Bitcoin, pliku deszyfrującego i/lub łagodnej próbki zaszyfrowanego pliku”.

Jednak zapewnienie środków łagodzących to coś innego niż pomoc w odzyskaniu wypłaconych środków. W przypadku Colonial Pipeline, FBI i Departament Sprawiedliwości odzyskały około połowy wyłudzonych środków, korzystając z publicznej księgi Bitcoin, po prześledzeniu płatności z powrotem do „konkretnego adresu, dla którego FBI ma „prywatny klucz” lub przybliżony odpowiednik hasła potrzebnego do uzyskania dostępu do zasobów dostępnych z konkretnego adresu Bitcoin.”

Ale nie każda organizacja jest dostawcą infrastruktury krytycznej, która zasługuje na uwagę Białego Domu, który wezwał Kreml do podjęcia działań przeciwko atakom ransomware zlokalizowanym w Rosji. Rosyjskie władze w zeszłym tygodniu przeprowadziły nalot na członków gangu REvil, który ma powiązania z DarkSide.