Το FBI έχει επισήμως συνδέσει το ransomware Diavol με την TrickBot Group, την ομάδα που βρίσκεται πίσω από την ανάπτυξη του γνωστού TrickBot banking trojan.
Η συμμορία TrickBot, γνωστή και ως Wizard Spider, συνδέεται με διάφορα malware που καταστρέφουν τα εταιρικά δίκτυα εδώ και χρόνια, οδηγώντας συνήθως σε επιθέσεις ransomware (Conti και Ryuk), διείσδυση σε δίκτυα, οικονομικές απάτες και εταιρική κατασκοπεία.
Δείτε επίσης: Το φτηνό malware βρίσκεται πίσω από την αύξηση των crypto επιθέσεων
Η συμμορία TrickBot είναι περισσότερο γνωστή για το malware με το ίδιο όνομα, το TrickBot banking trojan, αλλά βρίσκεται επίσης πίσω από την ανάπτυξη των BazarBackdoor και Anchor backdoors.
Προηγούμενη ανάλυση συνέδεσε το ransomware με την ομάδα TrickBot
Πέρυσι το καλοκαίρι, ερευνητές της FortiGuard Labs κυκλοφόρησαν μια αναφορά για ένα νέο ransomware με το όνομα Diavol, το οποίο στόχευε εταιρικά δίκτυα.
Κατά τη διάρκεια μιας ransomware επίθεσης που έλαβε χώρα τον Ιούνιο του 2021, οι ερευνητές είδαν να αναπτύσσονται Diavol και Conti ransomware payloads.
Μετά την ανάλυση των δύο δειγμάτων ransomware, ανακαλύφθηκαν ομοιότητες, που έκαναν τους ερευνητές να πιστεύουν ότι υπάρχει κάποια σύνδεση.
Εκείνη την εποχή, δεν υπήρχαν αρκετά στοιχεία που να συνδέουν επίσημα τις δύο κακόβουλες επιχειρήσεις.
Δείτε επίσης: Η Apple με το iOS 15 διόρθωσε δύο σοβαρές ευπάθειες ασφαλείας
Ωστόσο, ένα μήνα αργότερα, οι ερευνητές της IBM X-Force εμφανίστηκαν πιο σίγουροι για την ύπαρξη σύνδεσης μεταξύ του Diavol ransomware και άλλων malware της TrickBot Gang, όπως το Anchor και το TrickBot.
Το FBI συνδέει το Diavol ransomware με τη συμμορία TrickBot
Τώρα, το FBI ανακοίνωσε επίσημα ότι το Diavol Ransomware συνδέεται με τη συμμορία TrickBot.
“Το FBI έμαθε για πρώτη φορά για το Diavol ransomware τον Οκτώβριο του 2021. Το Diavol συνδέεται με developers της Trickbot Group, οι οποίοι είναι υπεύθυνοι για το Trickbot Banking Trojan“, αναφέρει το FBI σε ένα νέο FBI Flash advisory.
Σύμφωνα με το FBI, τα λύτρα που ζητούν οι χειριστές του ransomware κυμαίνονται μεταξύ 10.000 και 500.000 δολαρίων, με χαμηλότερες πληρωμές να γίνονται δεκτές μετά από διαπραγματεύσεις.
Αυτά τα ποσά είναι μικρότερα από αυτά που απαιτούνται από άλλες επιχειρήσεις ransomware που συνδέονται επίσης με την ομάδα TrickBot, όπως οι Conti και Ryuk. Για μια επίθεση με το Conti ransomware, οι επιτιθέμενοι έχουν ζητήσει ακόμα και 40 εκατομμύρια δολάρια.
Το FBI πιθανότατα ήταν σε θέση να συνδέσει επίσημα το Diavol ransomware με τη συμμορία TrickBot μετά τη σύλληψη της Alla Witte, μιας Λετονής που συμμετείχε στην ανάπτυξη ransomware για αυτή τη συμμορία.
Ο Vitali Kremez, Διευθύνων Σύμβουλος της AdvIntel, ο οποίος παρακολουθούσε τις λειτουργίες του TrickBot, είπε στο BleepingComputer ότι η Witte ήταν υπεύθυνη για την ανάπτυξη του νέου ransomware που συνδέεται με την TrickBot.
Δείτε επίσης: Romance scams: Φυλακίζεται άνδρας που προσπάθησε να εξαπατήσει 670 άτομα
“Η Alla Witte έπαιξε κρίσιμο ρόλο για τις επιχειρήσεις TrickBot και με βάση προηγούμενες αναλύσεις, συνδεόταν με την ανάπτυξη του Diavol ransomware“, είπε ο Kremez στο BleepingComputer.
Το FBI περιέχει διάφορους δείκτες παραβίασης και μέτρα προστασίας για το Diavol. Γι’ αυτό το λόγο, όλοι οι ειδικοί ασφαλείας και διαχειριστές συστημάτων πρέπει να διαβάσουν το advisory για να ενημερωθούν καταλλήλως.
Το FBI προτρέπει επίσης όλα τα θύματα, να ειδοποιήσουν αμέσως τις αρχές επιβολής του νόμου για τις επιθέσεις, για τη συλλογή στοιχείων που θα βοηθήσουν στην έρευνα.
Πηγή: Bleeping Computer
