TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

  • Whatsapp
TrickBot Botnet Ditemukan Menyebarkan Ransomware Baru yang Disebut Diavol

Aktor ancaman di balik yang terkenal TrikBot malware telah dikaitkan dengan jenis ransomware baru bernama “Diavol,” menurut penelitian terbaru.

Muatan ransomware Diavol dan Conti dikerahkan pada sistem yang berbeda dalam kasus serangan yang gagal menargetkan salah satu pelanggannya awal bulan ini, kata peneliti dari FortiGuard Labs Fortinet minggu lalu.

Bacaan Lainnya

TrickBot, Trojan perbankan yang pertama kali terdeteksi pada tahun 2016, secara tradisional merupakan solusi crimeware berbasis Windows, menggunakan modul yang berbeda untuk melakukan berbagai aktivitas berbahaya di jaringan target, termasuk pencurian kredensial dan melakukan serangan ransomware.

Tim Stack Overflow

Terlepas dari upaya penegakan hukum untuk menetralisir jaringan bot, malware yang terus berkembang telah terbukti menjadi ancaman yang tangguh, yang oleh operator yang berbasis di Rusia dijuluki “Laba-laba Penyihir” — dengan cepat mengadaptasi alat baru untuk melakukan serangan lebih lanjut.

Diavol dikatakan telah dikerahkan di alam liar dalam satu insiden hingga saat ini. Sumber intrusi masih belum diketahui. Yang jelas, bagaimanapun, adalah bahwa kode sumber payload memiliki kesamaan dengan Conti, bahkan ketika catatan tebusan telah ditemukan untuk menggunakan kembali beberapa bahasa dari ransomware Egregor.

“Sebagai bagian dari prosedur enkripsi yang agak unik, Diavol beroperasi menggunakan Asynchronous Procedure Calls (APC) mode pengguna tanpa algoritma enkripsi simetris,” para peneliti berkata. “Biasanya, pembuat ransomware bertujuan untuk menyelesaikan operasi enkripsi dalam waktu sesingkat-singkatnya. Algoritme enkripsi asimetris bukanlah pilihan yang jelas karena mereka [are] jauh lebih lambat daripada algoritma simetris.”

Mencegah Serangan Ransomware

Aspek lain dari ransomware yang menonjol adalah ketergantungannya pada teknik anti-analisis untuk mengaburkan kodenya dalam bentuk gambar bitmap, dari mana rutinitas dimuat ke dalam buffer dengan izin eksekusi.

Sebelum mengunci file dan mengubah wallpaper desktop dengan pesan tebusan, beberapa fungsi utama yang dilakukan oleh Diavol termasuk mendaftarkan perangkat korban dengan server jarak jauh, menghentikan proses yang berjalan, menemukan drive lokal dan file dalam sistem untuk dienkripsi, dan mencegah pemulihan dengan menghapus salinan bayangan.

Upaya ransomware Wizard Spider yang baru lahir juga bertepatan dengan “perkembangan baru untuk modul webinject TrickBot,” sebagai terperinci oleh tim Intelijen Ancaman Logika Kryptos, menunjukkan bahwa kelompok kejahatan dunia maya yang bermotivasi finansial masih secara aktif memperlengkapi kembali gudang malwarenya.

“TrickBot telah membawa kembali modul penipuan bank mereka, yang telah diperbarui untuk mendukung webinjects gaya Zeus,” peneliti cybersecurity Marcus Hutchins tweeted. “Ini bisa menunjukkan mereka melanjutkan operasi penipuan bank mereka, dan berencana untuk memperluas akses ke mereka yang tidak terbiasa dengan format webinject internal mereka.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *