Pelaku ancaman di balik malware TrickBot yang terkenal telah dikaitkan dengan jenis ransomware baru bernama "Diavol," menurut penelitian terbaru.
Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.
TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware. Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh , yang oleh operator yang berbasis di Rusia dijuluki " Wizard Spider " — dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.
Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, meskipun catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.
"Sebagai bagian dari prosedur enkripsi yang agak unik, Diavol beroperasi menggunakan Asynchronous Procedure Calls (APC) mode pengguna tanpa algoritma enkripsi simetris," kata para peneliti . "Biasanya, pembuat ransomware bertujuan untuk menyelesaikan operasi enkripsi dalam waktu sesingkat-singkatnya. Algoritme enkripsi asimetris bukanlah pilihan yang jelas karena mereka jauh lebih lambat daripada algoritme simetris." Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.
Sebelum mengunci file dan mengubah wallpaper desktop dengan pesan tebusan, beberapa fungsi utama yang dilakukan oleh Diavol termasuk mendaftarkan perangkat korban dengan server jarak jauh, menghentikan proses yang sedang berjalan, menemukan drive lokal dan file dalam sistem untuk dienkripsi, dan mencegah pemulihan dengan menghapus salinan bayangan.
Upaya ransomware Wizard Spider yang baru lahir juga bertepatan dengan "perkembangan baru untuk modul webinject TrickBot," seperti yang dirinci oleh tim Intelijen Ancaman Logika Kryptos, yang menunjukkan bahwa kelompok kejahatan dunia maya yang bermotivasi finansial masih secara aktif memperlengkapi kembali gudang malwarenya.
"TrickBot telah membawa kembali modul penipuan bank mereka, yang telah diperbarui untuk mendukung webinjects Zeus-gaya," cybersecurity peneliti Marcus Hutchins tweeted . "Ini bisa menunjukkan mereka melanjutkan operasi penipuan bank mereka, dan berencana untuk memperluas akses ke mereka yang tidak terbiasa dengan format webinject internal mereka."