Le gang de Trickbot lié au nouveau ransomware Diavol

0

Les chercheurs en sécurité de FortiGuard Labs ont fait le lien entre une nouvelle souche de ransomware baptisée Diavol et Wizard Spider, le groupe de cybercriminels à l’origine du botnet Trickbot.

Les charges utiles des ransomwares Diavol et Conti ont été déployées sur différents systèmes lors d’une attaque de ransomware bloquée par la solution EDR de l’entreprise début Juin 2021.

Les échantillons des deux familles de ransomwares sont ont beaucoup de similarités, de l’utilisation d’opérations d’Entrées/Sorties asynchrones pour la mise en file d’attente de chiffrement de fichiers à l’utilisation de paramètres de ligne de commande pratiquement identiques pour la même fonctionnalité de balayage).

Cependant, malgré toutes les similitudes, les chercheurs n’ont pas pu trouver de lien direct entre le ransomware Diavol et le gang de Trickbot, certaines différences significatives rendant impossible une attribution de confiance élevée.

Par exemple, il n’y a pas de contrôles intégrés dans le ransomware Diavol empêchant les charges utiles de s’exécuter sur les systèmes des cibles russes comme le fait Conti.

Il n’y a également aucune preuve de capacités d’exfiltration de données avant le cryptage, une tactique courante utilisée par les gangs de ransomware pour la double extorsion.

trickbot diavol
Site Tor du rançongiciel Diavol (Fortinet)

Capacités du ransomware Diavol

La procédure de cryptage du ransomware Diavol utilise des appels de procédure asynchrones (APC) en mode utilisateur avec un algorithme de cryptage asymétrique.

Cela le distingue des autres familles de ransomwares, car ils utilisent couramment des algorithmes symétriques pour accélérer considérablement le processus de cryptage.

Diavol manque également d’obscurcissement car il n’utilise pas d’astuces d’emballage ou d’anti-désassemblage, mais il parvient toujours à rendre l’analyse plus difficile en stockant ses routines principales dans des images bitmap.

Lors de l’exécution sur une machine compromise, le ransomware extrait le code de la section des ressources PE des images et le charge dans un tampon avec des autorisations d’exécution.

Le code qu’il extrait équivaut à 14 routines différentes qui s’exécuteront dans l’ordre suivant :

  • Créer un identifiant pour la victime
  • Initialiser la configuration
  • Enregistrez-vous auprès du serveur C&C et mettez à jour la configuration
  • Arrêter les services et les processus
  • Initialiser la clé de chiffrement
  • Trouver tous les lecteurs à chiffrer
  • Rechercher des fichiers à crypter
  • Empêcher la récupération en supprimant les clichés instantanés
  • Chiffrement
  • Changer le fond d’écran du bureau

Juste avant que le ransomware Diavol ne finisse son activité, il changera l’arrière-plan de chaque appareil Windows crypté en un fond d’écran noir avec le message suivant : « Tous vos fichiers sont cryptés ! Pour plus d’informations, consultez README-FOR-DECRYPT.txt »

« Actuellement, la source de l’intrusion est inconnue », a déclaré Fortinet. « Les paramètres utilisés par les attaquants, ainsi que les erreurs dans la configuration codée en dur, suggèrent que Diavol est un nouvel outil dans l’arsenal de ses opérateurs auquel ils ne sont pas encore complètement habitués. »

Des informations techniques supplémentaires sur le ransomware Diavol et des indicateurs de compromission sont disponibles à la fin du rapport de recherche sur les menaces de FortiGuard Labs.

diavol trickbot
Fond d’écran du ransomware Diavol (Fortinet)

Les ransomwares ciblent les entreprises

Wizard Spider, un groupe de cybercriminels dont les motivations sont financières est basé en Russie, le groupe utilise le botnet Trickbot pour déposer des logiciels malveillants de deuxième étape sur des systèmes et des réseaux compromis.

Trickbot est particulièrement dangereux pour les entreprises car il se propage via les réseaux d’entreprise. S’il obtient un accès administrateur à un contrôleur de domaine, il volera également la base de données Active Directory pour collecter encore plus d’informations d’identification réseau que le groupe pourra utiliser pour faciliter son travail.

Alors que Microsoft et plusieurs partenaires ont annoncé le retrait de certains serveurs de Trickbot après que le les autorités américaines aient également tenté de paralyser le botnet, TrickBot est toujours actif, le groupe publiant toujours de nouvelles versions de logiciels malveillants.

Les opérations du gang TrickBot sont passées à la vitesse supérieure au cours de l’été 2018 lorsqu’ils ont commencé à cibler les réseaux d’entreprise à l’aide du ransomware Ryuk et à nouveau en 2020 après être passé au ransomware Conti.

Les développeurs de Trickbot ont également commencé à déployer la porte dérobée furtive BazarLoader dans les attaques en Avril 2020, un outil conçu pour les aider à compromettre et à obtenir un accès complet aux réseaux d’entreprise avant de déployer les charges utiles du ransomware.

N’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire