I ricercatori di Fortinet hanno individuato una nuova famiglia di ransomware che opera come evoluzione della botnet TrickBot e prevede l’installazione del ransomware come secondo stadio dell’attacco.
Soprannominato “Diavol”, il ransomware rilascia una richiesta di riscatto in un formato di testo in ogni cartella su cui passa. La nota informa le vittime che i loro dati sono stati esfiltrati e che verranno esposti laddove il pagamento non verrà effettuato.
La tecnica utilizzata prevede una prima infezione a opera di TrickBot, il cui obiettivo è sottrarre le credenziali e le informazioni delle carte di credito e dei servizi di home banking, dopodiché i cyber criminali pianificano l’upload e l’esecuzione del ransomware.
Come parte di una procedura di crittografia piuttosto unica, Diavol opera utilizzando chiamate di procedura asincrona (APC) in modalità utente senza un algoritmo di crittografia simmetrica.
Diavol utilizza anche un’interessante tecnica anti-analisi per offuscare il suo codice. Le sue routine principali sono conservate in immagini bitmap memorizzate nella sezione delle risorse PE. Prima di chiamare ogni routine, copia i byte dalla bitmap in un buffer globale che dispone dei permessi di esecuzione.
Per massimizzare il suo effetto sulla macchina di destinazione e crittografare il maggior numero possibile di file, Diavol interrompe i processi in esecuzione che possono bloccare l’accesso a file importanti, come database, applicazioni per ufficio, software finanziario/contabile, server Web e macchine virtuali.
In questo attacco Diavol è stato distribuito insieme al ransomware Conti. I ricercatori hanno analizzato l’eventuale correlazione tra di loro e hanno osservato che i parametri della riga di comando utilizzati da Diavol sono quasi identici a quelli di Conti e utilizzati per le stesse funzionalità: file di registro, crittografia di unità locali o condivisioni di rete e scansione di host specifici per condivisioni di rete.
Inoltre, sia Diavol che Conti operano in modo simile con operazioni di I/O asincrone durante l’accodamento dei percorsi dei file per la crittografia.
Secondo i ricercatori, potrebbe anche esserci un collegamento tra Diavol e il ransomware Egregor. Alcune righe nella richiesta di riscatto sono identiche, anche se questo dato non è affidabile.
Alcuni esperti hanno segnalato un collegamento tra Wizard Spider, l’attore di minacce dietro Conti, e Twisted Spider, l’attore di minacce dietro Egregor. Presumibilmente, queste bande cooperano in varie operazioni e sono entrambe note per il doppio riscatto delle loro vittime (furto di dati e crittografia).
I ricercatori di Fortinet, con il progredire dell’attacco, hanno trovato più payload Conti che rafforzano la possibilità che l’attore della minaccia sia effettivamente Wizard Spider. Al momento, la fonte dell’intrusione è ancora sconosciuta e i parametri utilizzati dagli attaccanti, insieme agli errori nella configurazione hardcoded, lasciano pensare che Diavol sia un nuovo strumento nell’arsenale dei suoi operatori a cui non sono ancora del tutto abituati. Tuttavia, nonostante alcune somiglianze tra Diavol, Conti e altri ransomware, non risulta ancora chiaro se esista un collegamento diretto tra loro, nonché risultano un paio di importanti differenze rispetto agli attacchi precedentemente attribuiti a Wizard Spider & Co, conclude Fortinet.
https://www.fortinet.com/blog/threat-research/diavol-new-ransomware-used-by-wizard-spider