ΑρχικήSecurityΗ ομάδα πίσω από το Trickbot συνδέεται με το ransomware Diavol

Η ομάδα πίσω από το Trickbot συνδέεται με το ransomware Diavol

Οι ερευνητές του FortiGuard Labs έχουν συνδέσει ένα νέο στέλεχος ransomware που ονομάζεται Diavol με το Wizard Spider, την ομάδα κυβερνοεγκλήματος πίσω από το botnet Trickbot.

Τα payloads Diavol και Conti ransomware αναπτύχθηκαν σε διαφορετικά συστήματα σε μια επίθεση ransomware που μπλοκαρίστηκε από τη λύση EDR της εταιρείας στις αρχές Ιουνίου 2021.

Trickbot Diavol

Δείτε επίσης: Βιομηχανικά συστήματα ελέγχου (ICS): Στόχος ransomware συμμοριών

Τα δείγματα των δύο οικογενειών ransomware δείχνουν ότι είναι παρόμοια, από τη χρήση ασύγχρονων λειτουργιών I/O για queuing κρυπτογράφησης αρχείων έως τη χρήση σχεδόν πανομοιότυπων παραμέτρων γραμμής εντολών για την ίδια λειτουργικότητα.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 11 Οκτωβρίου 2024, 18:38 18:38

Ωστόσο, παρά όλες τις ομοιότητες, οι ερευνητές δεν μπόρεσαν να βρουν έναν άμεσο σύνδεσμο μεταξύ του Diavol ransomware και της συμμορίας πίσω από το Trickbot.

Για παράδειγμα, δεν υπάρχουν ενσωματωμένοι έλεγχοι στο Diavol ransomware που εμποδίζουν την εκτέλεση των payloads σε ρωσικά συστήματα στόχων όπως κάνει το Conti.

Δεν υπάρχει επίσης καμία ένδειξη για δυνατότητες data exfiltration πριν από την κρυπτογράφηση, μια κοινή τακτική που χρησιμοποιείται από συμμορίες ransomware για διπλό εκβιασμό.

Δείτε επίσης: Ransomware επίθεση απέτυχε την τελευταία στιγμή. Πώς την ανακάλυψαν;

Δυνατότητες του Diavol ransomware

Η διαδικασία κρυπτογράφησης του Diavol ransomware χρησιμοποιεί Asynchronous Procedure Calls (APCs) με ασύμμετρο αλγόριθμο κρυπτογράφησης.

Αυτό το ξεχωρίζει από άλλες οικογένειες ransomware, καθώς συνήθως χρησιμοποιούν συμμετρικούς αλγόριθμους για να επιταχύνουν σημαντικά τη διαδικασία κρυπτογράφησης.

Το Diavol στερείται επίσης του obfuscation, καθώς δεν χρησιμοποιεί κόλπα packing ή κατά της αποσυναρμολόγησης, αλλά καταφέρνει να κάνει την ανάλυση πιο δύσκολη αποθηκεύοντας τις κύριες ρουτίνες της σε εικόνες bitmap.

Κατά την εκτέλεση σε ένα μηχάνημα που έχει παραβιαστεί, το ransomware εξάγει τον κώδικα από την ενότητα πόρων PE των εικόνων και τον φορτώνει σε ένα buffer με δικαιώματα εκτέλεσης.

Ο κώδικας που εξάγει ανέρχεται σε 14 διαφορετικές ρουτίνες που θα εκτελεστούν με την ακόλουθη σειρά:

  1. Δημιουργία ενός αναγνωριστικού για το θύμα
  2. Initializing του configuration
  3. Εγγραφείτε στον C&C server και ενημερώστε το configuration
  4. Διακοπή υπηρεσιών και διαδικασιών
  5. Initialize του κλειδιού κρυπτογράφησης
  6. Εντοπισμός όλων των drive για κρυπτογράφηση
  7. Εντοπισμός όλων των αρχείων για κρυπτογράφηση
  8. Αποτροπή της ανάκτησης διαγράφοντας τα σκιώδη αντίγραφα
  9. Κρυπτογράφηση
  10. Αλλαγή της ταπετσαρίας του desktop

Πριν τελειώσει το Diavol ransomware, θα αλλάξει το φόντο κάθε κρυπτογραφημένης συσκευής Windows σε μια μαύρη ταπετσαρία με το ακόλουθο μήνυμα: “Όλα τα αρχεία σας είναι κρυπτογραφημένα! Για περισσότερες πληροφορίες δείτε README-FOR-DECRYPT.txt”.

Δείτε επίσης: CISA: Κυκλοφορεί εργαλείο αυτοαξιολόγησης ασφάλειας για ransomware

“Επί του παρόντος, η πηγή της εισβολής είναι άγνωστη”, λέει η Fortinet. “Οι παράμετροι που χρησιμοποίησαν οι επιτιθέμενοι, μαζί με τα σφάλματα στη διαμόρφωση των κωδικών, υποδηλώνουν το γεγονός ότι το Diavol είναι ένα νέο εργαλείο στο οπλοστάσιο των χειριστών του, στο οποίο δεν είναι ακόμη εξοικειωμένοι.”

Επιπλέον τεχνικές πληροφορίες για το Diavol ransomware και τους δείκτες παραβιασμού (IOCs) βρίσκονται στο τέλος της ερευνητικής έκθεσης του FortiGuard Labs.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS