FBI, Diavol fidye yazılımı operasyonunu, kötü şöhretli TrickBot bankacılık truva atının arkasındaki kötü amaçlı yazılım geliştiricileri olan TrickBot Group ile resmi olarak ilişkilendirdi.
Sihirbaz Örümcek olarak da bilinen TrickBot Gang, kurumsal ağlarda yıllarca hasara yol açan ve genellikle Conti ve Ryuk fidye yazılımı saldırılarına, ağ sızmasına, finansal dolandırıcılığa ve kurumsal casusluğa yol açan kötü amaçlı yazılım enfeksiyonlarının geliştiricileridir.
TrickBot Çetesi, en çok adaşı olan TrickBot bankacılık truva atı ile tanınır, ancak aynı zamanda BazarArka Kapı ve çapa arka kapılar.
Önceki analiz, Diavol’u TrickBot Group’a bağladı
Temmuz 2021’de FortiGuard Labs araştırmacıları Diavol adlı yeni bir fidye yazılımının analizini yayınladı (Rumence for Devil) kurumsal kurbanları hedef aldığı görüldü.
Araştırmacılar, Haziran 2021’in başlarında aynı fidye yazılımı saldırısında bir ağ üzerinde konuşlandırılan hem Diavol hem de Conti fidye yazılımı yüklerini gördüler.
İki fidye yazılımı örneğini analiz ettikten sonra, dosya şifreleme kuyruğu için eşzamansız G/Ç işlemlerini kullanmaları ve aynı işlevsellik için neredeyse aynı komut satırı parametreleri gibi benzerlikler keşfedildi.
O zaman, iki operasyonu resmi olarak ilişkilendirecek yeterli kanıt yoktu.
Ancak, bir ay sonra IBM X-Force araştırmacıları, daha güçlü bir bağlantı Diavol fidye yazılımı ile Anchor ve TrickBot gibi diğer TrickBot Gang kötü amaçlı yazılımları arasında.
FBI, Diavol fidye yazılımını TrickBot çetesine bağladı
Bugün FBI, Diavol Ransomware operasyonunu, önceki saldırılarda görülen uzlaşma göstergelerini yeni bir danışma paylaşımında TrickBot Çetesi ile ilişkilendirdiklerini resmen duyurdu.
FBI, yeni bir raporda “FBI, Diavol fidye yazılımını ilk olarak Ekim 2021’de öğrendi. Diavol, Trickbot Banking Trojan’dan sorumlu olan Trickbot Group’tan geliştiricilerle ilişkili” dedi. FBI Flaş danışmanlığı.
O zamandan beri FBI, fidye görüşmelerinin ardından daha düşük ödemelerin kabul edildiği 10.000 ila 500.000 ABD Doları arasında değişen fidye talepleri gördü.
Bu miktarlar, tarihsel olarak milyonlarca dolarlık fidye talep eden Conti ve Ryuk gibi TrickBot ile bağlantılı diğer fidye yazılımı operasyonlarının talep ettiği yüksek fidyelerle tam bir tezat oluşturuyor.
Örneğin, Nisan ayında Conti fidye yazılımı operasyonu 40 milyon dolar istedi Florida’nın Broward County Okul bölgesinden ve Çip üreticisi Advantech’ten 14 milyon dolar.
FBI muhtemelen Diavol’u resmi olarak TrickBot Çetesi’ne bağladı. Alla Witte’nin tutuklanması, kötü amaçlı yazılım çetesi için fidye yazılımı geliştirmeye katılan Letonyalı bir kadın.
Vitali KremezTrickBot operasyonlarını takip eden AdvIntel CEO’su, BleepingComputer’a TrickBot bağlantılı yeni fidye yazılımının geliştirilmesinden Witte’nin sorumlu olduğunu söyledi.
“Alla Witte, TrickBot operasyonları için kritik bir rol oynadı ve önceki AdvIntel’in derin çekişmeli içgörülerine dayanarak, Diavol fidye yazılımının geliştirilmesinden ve TrickBot operasyonlarını desteklemek için tasarlanan ön uç/arka uç projesinden sorumluydu. TrickBot ve Diavol,” dedi Kremez bir konuşmada BleepingComputer’a.
“Diavol fidye yazılımının başka bir adı, Diavol yeniden markalanmadan önce TrickBot ekibi tarafından kullanılan “Enigma” fidye yazılımıydı.”
FBI’ın danışma belgesi, Diavol için çok sayıda uzlaşma ve azaltma göstergeleri içerir ve bu da onu tüm güvenlik uzmanları ve Windows/ağ yöneticileri için vazgeçilmez bir okuma haline getirir.
Diavol fidye yazılımının, FBI danışma belgesinin belirttiği gibi, orijinal olarak ‘README_FOR_DECRYPT.txt’ adlı fidye notları oluşturduğuna dikkat edilmelidir, ancak BleepingComputer, fidye yazılımı çetesinin Kasım ayında ‘Warning.txt’ adlı fidye notlarına geçtiğini gördü.
FBI ayrıca tüm kurbanları, fidye ödemeyi planlayıp planlamadıklarına bakılmaksızın, soruşturma amaçları ve kolluk kuvvetleri operasyonları için kullanabilecekleri yeni IOC’leri toplamak için yapılan saldırıları derhal kolluk kuvvetlerine bildirmeye çağırıyor.
Bir Diavol saldırısından etkilenirseniz, “Diavol fidye yazılımından etkilenenlere tehdit azaltma kaynakları sağlayabilecekleri” için ödeme yapmadan önce FBI’ı bilgilendirmeniz de önemlidir.