Los investigadores de la empresa de ciberseguridad de FortiGuard Labs (una firma de Fortinet) han vinculado una nueva campaña de ransomware llamada Diavol con Wizard Spider (un grupo de cibercriminales con sede en San Petersburgo (Rusia) y sus alrededores), principales operadores de la botnet llamada TrickBot.
Los payloads de Diavol y Conti se implementaron en diferentes sistemas en un caso de un ataque fallido dirigido a uno de sus clientes a principios de este mes, el cual ha sido bloqueado de manera exitosa mediante las soluciones de EDR de diferentes compañías a principios de junio de 2021.
Las muestras de los ransomware se cortan de la misma tela, desde el uso de operaciones de E/S asincrónicas para entrar y cifrar los archivos, hasta el uso de parámetros de línea de comandos son prácticamente idénticos para la misma funcionalidad (es decir, registro, unidades y redes compartidas cifrado, etc).
Sin embargo, a pesar de todas las similitudes existentes, los investigadores no pudieron encontrar un vínculo directo entre el Diavol ransomware y la banda Trickbot, con algunas diferencias significativas que hicieron imposible la atribución de alta confianza.
A pesar de los esfuerzos de las fuerzas del orden para neutralizar la red de bots de Trickbot (junto con organizaciones privadas), el malware se encuentra en constante evolución y los operadores con sede en Rusia, denominados «Wizard Spider«, adaptan rápidamente nuevas herramientas para llevar a cabo más ataques.

Se sospecha que Diavol Ransomware ha sido desplegado de manera activa. La fuente de la intrusión sigue siendo desconocida. Sin embargo, lo que está claro es que el código fuente de la carga útil comparte similitudes con el de Conti, incluso cuando se ha descubierto que su nota de rescate reutiliza parte del lenguaje que Egregor.
Otro aspecto del ransomware en lo que se destaca, es su dependencia de una técnica anti-análisis para ofuscar su código en forma de imágenes de mapa de bits, desde donde las rutinas se cargan en un búfer con permisos de ejecución. Antes de cifrar los archivos y cambiar el papel tapiz del escritorio con un mensaje de rescate, algunas de las principales funciones realizadas por Diavol Ransomware, es incluir los registros de los dispositivos de la víctima con un servidor remoto, finalizar los procesos en ejecución, encontrar unidades locales y archivos en el sistema para cifrarlos y evitar su recuperación.

Mediante su cuenta oficial de Twitter, Marcus Hutchins dijo:
«TrickBot ha recuperado su módulo de fraude bancario, que se ha actualizado para admitir inyecciones web al estilo de Zeus… «Esto podría sugerir que están reanudando su operación de fraude bancario y planean expandir el acceso a aquellos que no están familiarizados con su formato interno de inyección web».
TrickBot has brought back their bank fraud module, which has been updated to support Zeus-style webinjects. This could suggest they are resuming their bank fraud operation, and plan to expand access to those unfamiliar with their internal webinject format. https://t.co/YrS2bVZ0Xt
— MalwareTech (@MalwareTechBlog) July 1, 2021
Hasta el momento de escribir esta noticia, no existe evidencia de capacidades de filtración de datos antes del cifrado, una táctica común utilizada por las bandas de ransomware para la doble extorsión. Pero es muy probable que dentro de un futuro cercano tengamos más información.
Seguiremos informando.
IOCs – by Fortinet:
File Hashes (SHA256)
85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac (Diavol, locker.exe)
426ba2acf51641fb23c2efe686ad31d6398c3dd25c2c62f6ba0621455a3f7178 (Conti v3, locker64.dll)
4bfd58d4e4a6fe5e91b408bc190a24d352124902085f9c2da948ad7d79b72618 (Conti, locker.exe)
File Names
locker.exe
locker64.dll
wscpy.exe
encr.bmp
README_FOR_DECRYPT.txt
File Paths
%PUBLIC%\Pictures\encr.bmp
IPs
173[.]232[.]146[.]118
URLs
hxxp://<server_address>//BnpOnspQwtjCA/register
hxxp://173[.]232[.]146[.]118/Bnyar8RsK04ug/
Domains
r2gttyb5vqu6swf5[.]onion
Más información
https://www.fortinet.com/blog/threat-research/diavol-new-ransomware-used-by-wizard-spider

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence