Le ransomware Diavol a une connexion forte avec TrickBot

0

Une nouvelle analyse d’un échantillon du ransomware Diavol montre un lien plus clair avec le gang derrière le botnet TrickBot et une évolution du malware.

La recherche récente est la seconde qui trouve des similarités dans le code des deux menaces, les liant au même acteur.

Le premier échantillon est livré avec des astuces

Une analyse précédente du ransomware Diavol (Romanian for Devil) des laboratoires FortiGuard de Fortinet a révélé un ensemble de similitudes avec le logiciel malveillant TrickBot ainsi que des différences qui empêchaient l’attribution du code.

L’évaluation de Fortinet début juillet a révélé que Diavol et Conti – une famille de ransomwares fortement liée à TrickBot – utilisaient les mêmes paramètres de ligne de commande pour diverses tâches (journalisation, chiffrement, analyse).

Un rapport des analystes des menaces d’IBM X-Force, Charlotte Hammond et Chris Caridi, fournit des indices indiquant un lien plus fort entre le ransomware Diavol et le gang TrickBot.

Contrairement à l’échantillon analysé par Fortinet, qui était un « ransomware entièrement fonctionnel et armé », celui qu’IBM a examiné est une variante plus ancienne plus proche d’une version de développement utilisée à des fins de test.

L’état incomplet du malware contenait les signes qui ont permis aux chercheurs de parvenir à une conclusion plus fiable.

IBM X-Force a examiné un échantillon soumis à Virus Total le 27 janvier 2021, avec une date de compilation du 5 mars 2020. Par comparaison, la date de compilation de la version dans l’analyse de Fortinet est le 30 avril 2021.

Les chercheurs ont remarqué que le ransomware Diavol collectait des informations de base à partir du système infecté et générait un identifiant système ou bot qui aide l’attaquant à suivre plusieurs intrusions d’affiliés dans l’opération de ransomware-as-a-service (RaaS).

Le format Bot ID du ransomware Diavol inclut le nom d’hôte, le nom d’utilisateur et la version Windows du système compromis, ainsi qu’un identifiant unique global (GUID). Le format est « presque identique » à celui généré par le malware TrickBot, notent les analystes.

[hostname]-[username]_W[windows _version].[guid]

Un modèle d’identification de Bot très similaire a été observé avec Anchor DNS, un autre malware attribué au gang TrickBot, selon les chercheurs dans leur rapport.

Les identifiants de victime sont importants pour les opérateurs de logiciels malveillants, car ils peuvent suivre le succès de diverses campagnes et en informer les affiliés.

« C’est pourquoi ces conventions de formatage et de nommage spécifiques pourraient potentiellement pointer vers le groupe responsable du déploiement initial » – IBM X-Force

Les chercheurs notent également que les en-têtes HTTP pour la communication du serveur de commande et de contrôle (C2) étaient « configurés pour préférer le contenu en russe », également favorisés par les opérateurs de TrickBot.

Un autre indice pointant vers les pirates russes est le code permettant de vérifier la langue du système compromis afin de filtrer les victimes en Russie ou dans la région de la Communauté des États indépendants (CEI).

Bien que Fortinet n’ait pas trouvé ce code de vérification de la langue dans l’échantillon du ransomware Diavol qu’ils ont analysé, IBM dit avoir trouvé des indications dans la version de développement qu’un tel code « peut avoir été présent ou destiné à être développé, même s’il n’a pas été activé dans le fichier compilé.

« Une liste de chaînes hexadécimales à quatre caractères a été identifiée dans l’échantillon de développement. Ces chaînes ne sont pas utilisées dans le code compilé mais ont été reconnues comme étant potentiellement des identificateurs de code de langue, et une analyse plus approfondie a confirmé que toutes sont liées aux langues russe et de la Communauté des États indépendants  » – IBM X-Force

Compte tenu des différentes étapes de développement des deux variantes du ransomware Diavol et quand elles ont été trouvées, il est clair que le malware évolue.

IBM X-Force n’a pas trouvé de preuves définitives pour lier le ransomware Diavol au gang TrickBot, mais a découvert de nouveaux signes suggérant une connexion.

Mais entre leur rapport et la conclusion de Fortinet selon laquelle le malware fonctionne de manière très similaire à Conti, la balance d’attribution semble pencher visiblement vers TrickBot.

Laisser un commentaire