El FBI ha vinculado formalmente las operaciones de la banda de ransomware Diavol con el Grupo TrickBot, los desarrolladores de malware detrás del conocido troyano bancario y su red de botners. La banda TrickBot es más conocida por sus hechos e historia dentro del mundo cibercriminal, además de ser el troyano bancario TrickBot, también está detrás del desarrollo de los backdoors BazarBackdoor y Anchor. Y de ser parte de los principales proveedores de los famosos «accesos iniciales» para diferentes bandas de ciberdelincuentes, como lo son Conti y Ryuk. Y también spywares y diferentes malwares dentro de organizaciones en todo el mundo.
El día 19 de enero de 2021, el FBI ha anunciado formalmente que ha vinculado la operación del ransomware Diavol con la banda TrickBot, en un nuevo aviso en el que se comparten indicadores de compromiso vistos en ataques anteriores.
«El FBI tuvo conocimiento por primera vez del ransomware Diavol en octubre de 2021. Diavol está asociado con los desarrolladores del Grupo Trickbot, que son responsables del troyano bancario Trickbot«, afirma el FBI.
Desde entonces, el FBI ha visto demandas de rescate que oscilan entre los $10.000 y los $500.000 dólares, con pagos más bajos aceptados después de las negociaciones del rescate. Estas cantidades contrastan con los rescates más elevados exigidos por otras operaciones de ransomware vinculadas a TrickBot, como Conti y Ryuk, que históricamente han pedido rescates multimillonarios.
Es probable que el FBI haya podido vincular formalmente a Diavol con la banda TrickBot tras la detención de Alla Witte, una mujer letona implicada en el desarrollo del ransomware.
Cabe señalar que el banda de Diavol creó originalmente notas de rescate con el nombre de «README_FOR_DECRYPT.txt«, como se señala en el aviso del FBI, pero se sabe que que la banda de ransomware cambió en noviembre a notas de rescate con el nombre de «Warning.txt«.
El FBI también insta a todas las víctimas, independientemente de si piensan pagar un rescate, a notificar rápidamente a las fuerzas del orden los ataques para recoger nuevos Indicadores de Compromisos que puedan utilizar con fines de investigación y operaciones policiales.
Más información
https://www.ic3.gov/Media/News/2022/220120.pdf
Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence
