Blog

Los operadores de TrickBot estarían distribuyendo un nuevo Ransomware denominado como «Diavol»

Los investigadores de la empresa de ciberseguridad de FortiGuard Labs (una firma de Fortinet) han vinculado una nueva campaña de ransomware llamada Diavol con Wizard Spider (un grupo de cibercriminales con sede en San Petersburgo (Rusia) y sus alrededores), principales operadores de la botnet llamada TrickBot.

Los payloads de Diavol y Conti se implementaron en diferentes sistemas en un caso de un ataque fallido dirigido a uno de sus clientes a principios de este mes, el cual ha sido bloqueado de manera exitosa mediante las soluciones de EDR de diferentes compañías a principios de junio de 2021.

Las muestras de los ransomware se cortan de la misma tela, desde el uso de operaciones de E/S asincrónicas para entrar y cifrar los archivos, hasta el uso de parámetros de línea de comandos son prácticamente idénticos para la misma funcionalidad (es decir, registro, unidades y redes compartidas cifrado, etc).

Sin embargo, a pesar de todas las similitudes existentes, los investigadores no pudieron encontrar un vínculo directo entre el Diavol ransomware y la banda Trickbot, con algunas diferencias significativas que hicieron imposible la atribución de alta confianza.

A pesar de los esfuerzos de las fuerzas del orden para neutralizar la red de bots de Trickbot (junto con organizaciones privadas), el malware se encuentra en constante evolución y los operadores con sede en Rusia, denominados «Wizard Spider«, adaptan rápidamente nuevas herramientas para llevar a cabo más ataques.

Se sospecha que Diavol Ransomware ha sido desplegado de manera activa. La fuente de la intrusión sigue siendo desconocida. Sin embargo, lo que está claro es que el código fuente de la carga útil comparte similitudes con el de Conti, incluso cuando se ha descubierto que su nota de rescate reutiliza parte del lenguaje que Egregor.

Otro aspecto del ransomware en lo que se destaca, es su dependencia de una técnica anti-análisis para ofuscar su código en forma de imágenes de mapa de bits, desde donde las rutinas se cargan en un búfer con permisos de ejecución. Antes de cifrar los archivos y cambiar el papel tapiz del escritorio con un mensaje de rescate, algunas de las principales funciones realizadas por Diavol Ransomware, es incluir los registros de los dispositivos de la víctima con un servidor remoto, finalizar los procesos en ejecución, encontrar unidades locales y archivos en el sistema para cifrarlos y evitar su recuperación.

Mediante su cuenta oficial de Twitter, Marcus Hutchins dijo:

«TrickBot ha recuperado su módulo de fraude bancario, que se ha actualizado para admitir inyecciones web al estilo de Zeus… «Esto podría sugerir que están reanudando su operación de fraude bancario y planean expandir el acceso a aquellos que no están familiarizados con su formato interno de inyección web».

Hasta el momento de escribir esta noticia, no existe evidencia de capacidades de filtración de datos antes del cifrado, una táctica común utilizada por las bandas de ransomware para la doble extorsión. Pero es muy probable que dentro de un futuro cercano tengamos más información.

Seguiremos informando.

IOCs – by Fortinet:

File Hashes (SHA256)

85ec7f5ec91adf7c104c7e116511ac5e7945bcf4a8fdecdcc581e97d8525c5ac (Diavol, locker.exe)
426ba2acf51641fb23c2efe686ad31d6398c3dd25c2c62f6ba0621455a3f7178 (Conti v3, locker64.dll)
4bfd58d4e4a6fe5e91b408bc190a24d352124902085f9c2da948ad7d79b72618 (Conti, locker.exe)

File Names

locker.exe
locker64.dll
wscpy.exe
encr.bmp
README_FOR_DECRYPT.txt

File Paths

%PUBLIC%\Pictures\encr.bmp

IPs

173[.]232[.]146[.]118

URLs

hxxp://<server_address>//BnpOnspQwtjCA/register 
hxxp://173[.]232[.]146[.]118/Bnyar8RsK04ug/

Domains

r2gttyb5vqu6swf5[.]onion

Más información

https://www.fortinet.com/blog/threat-research/diavol-new-ransomware-used-by-wizard-spider

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Ransomware

¿Qué es NO MORE RANSOM?

No More Ransom es un portal en línea lanzado en julio de 2016 y una asociación público-privada creada por las

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad