Une enquête récente sur la souche de ransomware Diavol révèle un lien plus fort entre le tristement célèbre gang TrickBot et le développement du malware. Des chercheurs d’IBM X-Force ont révélé des détails démontrant que l’échantillon de ransomware est identique à d’autres logiciels malveillants liés à l’organisation de cybercriminalité.
Fortinet a divulgué les détails d’une tentative d’attaque du ransomware Diavol contre l’un de ses clients début juillet, soulignant les similitudes du code source de la charge utile avec celui de Conti et son approche consistant à recycler certaines terminologies du ransomware Egregor dans sa note de rançon.
Diavol utilise des appels de procédure asynchrones (APC) en mode utilisateur sans technique de cryptage symétrique dans le cadre d’une procédure de cryptage assez unique, selon les chercheurs. En règle générale, les développeurs de ransomware s’efforcent de terminer le processus de cryptage le plus rapidement possible. Les techniques de chiffrement asymétriques ne sont pas le choix naturel car elles sont beaucoup plus lentes que les algorithmes symétriques.
Une étude récente d’un échantillon Diavol antérieur – compilé le 5 mars 2020 et soumis à VirusTotal le 27 janvier 2021 – a révélé de nouveaux détails sur le processus de développement du malware, avec le code source capable de mettre fin à des processus arbitraires et de hiérarchiser les types de fichiers à chiffrer en fonction de la liste d’extensions préconfigurée de l’attaquant.
Le ransomware collecte des informations système lors de son exécution initiale, qui sont ensuite utilisées pour générer une identification unique qui est remarquablement identique à l’ID de Bot généré par le malware TrickBot, à l’exception du champ de nom d’utilisateur Windows. Les liens de Diavol avec TrickBot sont également dus au fait que les en-têtes HTTP utilisés pour la communication de commande et de contrôle (C2) sont configurés pour donner la priorité au matériel en russe, qui correspond à la langue d’origine des opérateurs.
Une autre similitude entre les deux versions du ransomware est la procédure d’enregistrement, dans laquelle la machine victime s’identifie auprès d’un serveur distant en utilisant l’identifiant créé à l’étape précédente. Dans les deux cas examinés, l’inscription au botnet est presque identique.
L’exemple de développement, d’autre part, inclut des méthodes d’énumération et de cryptage de fichiers inachevés, et au lieu de dépendre d’appels de procédure asynchrones, il crypte immédiatement les fichiers avec l’extension « .lock64 » au fur et à mesure qu’ils sont rencontrés. Il a également été découvert que le fichier d’origine n’est pas supprimé après le cryptage, ce qui évite l’exigence d’une clé de décryptage.
Il utilise également un code pour vérifier la langue sur la machine infectée afin de filtrer les victimes de Russie et de la Communauté des États indépendants (CEI), qui est une technique TrickBot bien connue. La collaboration entre les groupes de cybercriminalité, les réseaux affiliés et la réutilisation du code, selon les experts, font tous partie d’une économie de ransomware en développement.
Bien que le code Diavol soit moins populaire dans le monde de la cybercriminalité que Ryuk ou Conti, il est probablement lié aux mêmes opérateurs et pirates informatiques en coulisses.
You might also like:
TrickBot botnet deploying a new Diavol ransomware
Trickbot makes a comeback with its VNC module for high-value targets
Latvian woman charged for developing trickbot banking malware