Contoh Ransomware Diavol yang Baru Ditemukan Mungkin Tertaut ke Grup TrickBot yang Terkenal

  • Whatsapp
Contoh Ransomware Diavol yang Baru Ditemukan Mungkin Tertaut ke Grup TrickBot yang Terkenal
Contoh Ransomware Diavol yang Baru Ditemukan Mungkin Tertaut ke Grup
Contoh Ransomware Diavol yang Baru Ditemukan Mungkin Tertaut ke Grup TrickBot yang Terkenal

Para peneliti menemukan jenis ransomware baru “Diavol” yang mungkin telah dikaitkan dengan kelompok peretas TrickBot yang paling dicari.

TrickBot menjadikannya sebagai salah satu Trojan perbankan teratas di alam liar dan menyerang berbagai bank internasional dan organisasi lain menggunakan injeksi web berbahaya.

Pada tren keamanan siber saat ini, Ransomware menjadi perhatian utama dan sering menyerang organisasi dan individu di seluruh dunia.

Sampel ransomware Diavol yang saat ini ditemukan oleh IBM X-Force tidak biasa dibandingkan sampel yang sudah ada yang diidentifikasi oleh Fortinet.

Tapi ini tidak seperti sampel Fortinet yang berfungsi penuh sebagai senjata dan langsung digunakan oleh penyerang, tapi ini terlihat seperti versi pengembangan dari Diavol.

Peneliti menganalisis kode tersebut, dan memunculkan tanda bahwa ia memiliki konfigurasi jejak yang disukai oleh grup TrickBot.

Saat membedakan kedua sampel, itu menunjukkan bahwa keduanya telah dikompilasi dalam periode waktu yang berbeda (Contoh pengembangan – Disusun 5 Maret 2020), (Sampel Aktif – Disusun 30 April 2021).

Kami telah melihat dalam beberapa hari terakhir bahwa kolaborasi antara kelompok kejahatan dunia maya dan berbagi kode sumber di antara kelompok-kelompok ancaman adalah bagian dari ekonomi ransomware yang berkembang.

Analisis Teknis & Proses Infeksi

Analisis mendalam dari sampel yang diidentifikasi mengungkapkan bahwa penyerang menggunakan kunci enkripsi RSA untuk mengenkripsi file korban.

Sebelum memulai proses eksekusi, ia mengumpulkan informasi dasar tentang sistem yang ditargetkan seperti versi windows dan detail adaptor jaringan.

Segera setelah itu mencoba untuk berkomunikasi dengan server perintah dan kontrol yang dikendalikan oleh penyerang, dan mendaftarkan mesin korban dengan ID Grup yang telah dikonfigurasi sebelumnya dan ID Bot yang dibuat pada langkah sebelumnya.

Peneliti X-Force menganalisis sampel dan menemukan konfigurasi hardcode dari overlay file portabel yang dapat dieksekusi (PE) daripada di bagian .data yang digunakan oleh versi aktif yang lebih baru.

Juga, elemen konfigurasi berisi kumpulan elemen yang mirip dengan fitur sampel aktif sebagai berikut: –

  • Alamat IP C2
  • ID grup
  • Kunci publik RSA yang disandikan Base64
  • Daftar nama proses yang akan dihentikan
  • Daftar nama layanan yang akan dihentikan
  • Daftar file yang harus dihindari enkripsi
  • Daftar file untuk dienkripsi
  • Daftar file yang akan dihapus
  • Daftar file prioritas untuk dienkripsi terlebih dahulu
  • Teks Ransomware

Sebelum memulai proses enkripsi, Ransowmare menghentikan proses dan layanan pada perangkat yang terinfeksi.

Menurut laporan “Dalam sampel pengembangan, kode untuk enumerasi file dan fungsi enkripsi jelas belum selesai. Fungsi enumerasi file dirancang untuk pertama-tama mengenkripsi file dalam daftar prioritas yang dikonfigurasi (yang kosong) dan kemudian menghitung dan mengenkripsi file di jalur hardcoded C:TEST. Fungsi yang terkait dengan penghitungan drive logis dan pembagian jaringan, seperti yang terlihat pada sampel aktif yang lebih baru, tidak diterapkan.

Pada proses enkripsi, sama seperti sampel aktif, sampel saat ini dilakukan menggunakan kunci RSA dan membuat file baru dengan jalur file target, dan menambahkan ekstensi file ‘.lock64’.

Peneliti mengamati satu perilaku yang, dalam sampel aktif yang terkait dengan penyebaran catatan tebusan, penghapusan file, dan penghapusan Volume Shadow Copies tidak diterapkan dalam sampel pengembangan.

Peretas menggunakan format yang sama untuk menghasilkan ID Bot yang terlihat di malware DNS Anchor yang terkait dengan Trickbot, dan format yang sama terlihat di ransomware Diavol.

Selain itu, header HTTP yang digunakan untuk komunikasi C2 disetel untuk memilih konten bahasa Rusia, yang cocok dengan bahasa yang digunakan oleh operator TrickBot. kata peneliti.

Anda juga dapat membaca: Respons Serangan Ransomware dan Daftar Periksa Mitigasi

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.