Liam Tung Bidragyder
Liam Tung er en fuldtids freelance teknologijournalist, der skriver for adskillige australske publikationer.
Fuld bio den 21. januar 2022 | Emne: Sikkerhed 
Federal Bureau of Investigations (FBI) har detaljerede beviser, der forbinder den nye Diavol ransomware med TrickBot Group, den produktive bande bag den eponyme banktrojaner.
Diavol ramte forskernes radarer i midten af 2021, da Fortinet offentliggjorde en teknisk analyse af Diavol, der etablerede nogle links til Wizard Spider, et andet navn for Trickbot Group, som forskere også har fulgt i forbindelse med “dobbelten” afpresning” Ryuk ransomware.
Ryuk er selektivt indsat mod mål af høj værdi, der er udsat for en dobbelt afpresningsketcher, hvor deres data krypteres, stjæles og derefter potentielt lækkes, medmindre der betales løsesum.
SE: En vindende strategi for cybersikkerhed (ZDNet-særrapport)
Trickbots værktøjer inkluderer Anchor_DNS-bagdøren, et værktøj til at overføre data mellem offermaskiner og Trickbot-kontrollerede servere ved hjælp af Domain Name System (DNS) tunneling for at skjule ondsindet trafik med normal DNS-trafik.
FBI har været på Diavol siden oktober. Dens forbindelse mellem Diavol og Trickbot er, at den unikke bot-identifikator (Bot ID) genereret af Diavol for hvert offer er “næsten identisk” med det format, der bruges af Trickbot og Anchor_DNS malware. Når bot-id'et er genereret af Diavol, krypteres filer på denne maskine og tilføjes “.lock64” filtypenavnet, og maskinen viser løsesum-meddelelsen.
“Diavol er forbundet med udviklere fra Trickbot Group, som er ansvarlige for Trickbot Banking Trojan,” sagde FBI i en ny flash-note, der advarer om, at man har set afpresningskrav på op til $500.000.
I modsætning til Ryuk , FBI har ikke set Diavol lække offerdata, på trods af gruppens besked indeholdende en trussel om at gøre det. I Diavols løsesumsnota står der:
“Tag i betragtning, at vi også har downloadet data fra dit netværk
Der vil blive offentliggjort på vores nyhedswebsted, hvis du ikke betaler.”
“Diavol krypterer filer udelukkende ved hjælp af en RSA-krypteringsnøgle, og dens kode er i stand til at prioritere filtyper til kryptering baseret på en forudkonfigureret liste over udvidelser defineret af angriberen,” sagde FBI.
“Mens krav om løsesum har varieret fra $10.000 til $500.000, har Diavol-aktører været villige til at engagere ofre i løsesumsforhandlinger og acceptere lavere betalinger.”
Selvom FBI erkender, at nogle ofre har forhandlet løsesummer med Diavol-aktører, fraråder det stadig aftaler, da det ikke garanterer, at filer vil blive gendannet og fraråder betaling, fordi det kan opmuntre angriberne og finansiere fremtidige angreb.
På den anden side udtrykker FBI sympati for ofre, der forhandler med angribere.
“FBI forstår, at når ofre står over for manglende evne til at fungere, evalueres alle muligheder for at beskytte aktionærer, medarbejdere og kunder. FBI kan muligvis levere trusselsbegrænsende ressourcer til dem, der er påvirket af Diavol ransomware ,” stod der.
SE: Din cybersikkerhedstræning skal forbedres, fordi hackingangreb kun bliver værre
FBI opfordrer også ofreorganisationer til at dele “grænselogfiler, der viser kommunikation til og fra udenlandske IP-adresser, Bitcoin wallet-oplysninger, dekrypteringsfilen og/eller en godartet prøve af en krypteret fil.”
Men at give afhjælpningsressourcer er anderledes end at hjælpe med at inddrive betalte midler. I Colonial Pipelines tilfælde inddrev FBI og justitsministeriet omkring halvdelen af de afpressede midler ved at bruge Bitcoins offentlige hovedbog til at spore betalingerne tilbage til “en specifik adresse, som FBI har den 'private nøgle' til, eller det omtrentlige svar på en adgangskode, der er nødvendig for at få adgang til aktiver, der er tilgængelige fra den specifikke Bitcoin-adresse.”
Men ikke alle offerorganisationer er en kritisk infrastrukturudbyder, der tiltrækker opmærksomheden fra Det Hvide Hus, som siden har opfordret Kreml til at gribe ind mod ransomware-angreb i Rusland. Russiske myndigheder gennemførte i sidste uge en sjælden razzia mod medlemmer af REvil, som har links til DarkSide.
Sikkerhed
Microsoft: Ny browserfunktion er 'enormt fremskridt' mod nul-dagstrusler Hvordan teknologi er et våben i moderne misbrug i hjemmet – og hvordan du beskytter dig selv Linux malware er stigende. Her er tre toptrusler lige nu Den bedste antivirussoftware og -apps: Hold din pc, telefon og tablet sikker Sikkerheds-tv | Datastyring | CXO | Datacentre