Liam Tung Contributor
Liam Tung är en frilansande teknikjournalist på heltid som skriver för flera australiska publikationer.
Fullständig bio den 21 januari 2022 | Ämne: Säkerhet 
Inuti ett gäng med ransomware: Akta dig för dessa aggressiva taktiker Titta nu
Federal Bureau of Investigations (FBI) har detaljerade bevis som kopplar den nya Diavol ransomware till TrickBot Group, det produktiva gänget bakom den självbetitlade banktrojanen.
Diavol träffade forskarnas radar i mitten av 2021 när Fortinet publicerade en teknisk analys av Diavol som etablerade några kopplingar till Wizard Spider, ett annat namn för Trickbot Group, som forskare också har spårat i samband med “dubbel” utpressning” Ryuk ransomware.
Ryuk utplaceras selektivt mot mål med högt värde som utsätts för en dubbel utpressningsracket, där deras data krypteras, stjäls och sedan potentiellt läcker om inte en lösensumma betalas.
SE: En vinnande strategi för cybersäkerhet (ZDNet specialrapport)
Trickbots verktyg inkluderar Anchor_DNS-bakdörren, ett verktyg för att överföra data mellan offermaskiner och Trickbot-kontrollerade servrar med hjälp av Domain Name System (DNS) tunnling för att dölja skadlig trafik med normal DNS-trafik.
FBI har varit på Diavol sedan oktober. Dess länk mellan Diavol och Trickbot är att den unika botidentifieraren (Bot ID) som genereras av Diavol för varje offer är “nästan identisk” med formatet som används av Trickbot och Anchor_DNS malware. När bot-ID:t har genererats av Diavol, krypteras filer på den maskinen och läggs till med filtillägget “.lock64” och maskinen visar lösenmeddelandet.
“Diavol är förknippad med utvecklare från Trickbot Group, som är ansvariga för Trickbot Banking Trojan,” sade FBI i en ny snabbnotis, som varnade för att de har sett utpressningskrav på upp till 500 000 $.
Till skillnad från Ryuk , FBI har inte sett Diavol läcka offerdata, trots att gruppens meddelande innehåller ett hot om att göra det. I Diavols lösennota står det:
“Tänk på att vi även har laddat ner data från ditt nätverk
Som i fall att du inte betalar kommer att publiceras på vår nyhetswebbplats.”
“Diavol krypterar filer enbart med hjälp av en RSA-krypteringsnyckel, och dess kod kan prioritera filtyper för att kryptera baserat på en förkonfigurerad lista med tillägg som definierats av angriparen”, sa FBI.
“Medan kraven på lösen har varierat från $10 000 till $500 000, har Diavols aktörer varit villiga att engagera offer i lösenförhandlingar och acceptera lägre betalningar.”
Även om FBI erkänner att vissa offer har förhandlat fram lösensummor med Diavol-aktörer, avskräcker det fortfarande överenskommelser eftersom det inte garanterar att filer kommer att återvinnas och avråder från betalning eftersom det kan uppmuntra angriparna och finansiera framtida attacker.
Å andra sidan uttrycker FBI sympati för offer som förhandlar med angripare.
“FBI förstår att när offer står inför en oförmåga att fungera utvärderas alla alternativ för att skydda aktieägare, anställda och kunder. FBI kanske kan tillhandahålla resurser för att minska hotet till dem som påverkas av Diavol ransomware ,” stod det.
SE: Din cybersäkerhetsutbildning behöver förbättras eftersom hackattacker bara blir värre
FBI uppmanar också offerorganisationer att dela med sig “gränsloggar som visar kommunikation till och från utländska IP-adresser, information om Bitcoin-plånbok, dekrypteringsfilen och/eller ett godartat prov av en krypterad fil.”
Men att tillhandahålla begränsningsresurser är annorlunda än att hjälpa till att få tillbaka utbetalda medel. I Colonial Pipelines fall återvann FBI och justitiedepartementet ungefär hälften av de utpressade medlen genom att använda Bitcoins allmänna bokföring för att spåra betalningarna tillbaka till “en specifik adress, för vilken FBI har den “privata nyckeln” eller den ungefärliga motsvarigheten till ett lösenord som behövs för att komma åt tillgångar som är tillgängliga från den specifika Bitcoin-adressen.”
Men inte alla offerorganisationer är en leverantör av kritisk infrastruktur som drar till sig Vita husets uppmärksamhet, som sedan dess har uppmanat Kreml att vidta åtgärder mot ransomware-attacker i Ryssland. Ryska myndigheter genomförde förra veckan en sällsynt räd mot medlemmar av REvil, som har kopplingar till DarkSide.
Säkerhet
Microsoft: Ny webbläsarfunktion är “stort steg framåt” mot nolldagarshot Hur teknik är ett vapen i modern missbruk i hemmet – och hur du skyddar dig själv Linux skadlig programvara ökar. Här är tre främsta hot just nu De bästa antivirusprogramvaran och apparna: Håll din dator, telefon och surfplatta säker Säkerhet TV | Datahantering | CXO | Datacenter