FBI警告：Diavol勒索软件要求赎金高达500,000美元

FBI警告：Diavol勒索软件要求赎金高达500,000美元

FBI发现Diavol勒索软件使用与Trickbot和与Trickbot相关的Anchor DNS恶意软件相同的方法来识别受害者机器。

联邦调查局(FBI)有详细的证据将新的Diavol勒索软件与TrickBot Group联系起来，后者是同名银行木马背后的多产团伙。

Diavol在2021年年中引起了研究人员的注意，当时Fortinet发布了对Diavol的技术分析，该分析与Trickbot Group的另一个名称Wizard Spider建立了一些联系，研究人员也一直在追踪与“双重勒索”Ryuk勒索软件有关的信息。

Ryuk被选择性地部署在遭受双重敲诈勒索的高价值目标上，他们的数据被加密、被盗，然后可能泄露，除非支付赎金。

Trickbot的工具包括Anchor_DNS后门，这是一种用于在受害机器和Trickbot控制的服务器之间传输数据的工具，使用域名系统(DNS)隧道来隐藏具有正常DNS流量的恶意流量。

联邦调查局一直在关注Diavol

自10月以来，联邦调查局一直在关注Diavol。Diavol和Trickbot之间的联系在于，Diavol为每个受害者生成的唯一机器人标识符(Bot ID)与Trickbot和Anchor_DNS恶意软件使用的格式“几乎相同”。Diavol生成Bot ID后，该机器上的文件将被加密并附加“.lock64”文件扩展名，并且机器会显示勒索消息。

“Diavol与Trickbot Group的开发人员有关，他们负责Trickbot银行木马，”联邦调查局在一份新的简报中说，并警告说它已经看到高达500,000美元的勒索要求。

与Ryuk不同，FBI没有看到Diavol泄露受害者数据，尽管该组织的信息包含这样做的威胁。Diavol的赎金记录指出：“考虑到我们还从您的网络下载了数据，如果不付款将在我们的新闻网站上公布。”

FBI表示：“Diavol仅使用RSA加密密钥对文件进行加密，其代码能够根据攻击者定义的预配置扩展列表优先加密文件类型。”

“虽然赎金要求从10,000美元到500,000美元不等，但Diavol演员一直愿意让受害者参与赎金谈判并接受较低的付款。”

尽管FBI承认一些受害者已经与Diavol演员协商了赎金，但它仍然不鼓励达成协议，因为它不保证文件会被恢复，并建议不要付款，因为这可能会鼓励攻击者并为未来的攻击提供资金。

联邦调查局对与攻击者进行谈判的受害者表示同情

“联邦调查局了解，当受害者面临无法运作时，所有选项都经过评估，以保护股东、员工和客户。联邦调查局可能能够为受Diavol勒索软件影响的人提供威胁缓解资源，”它说。

FBI还呼吁受害者组织与其共享“边界日志，显示与外国IP地址、比特币钱包信息、解密文件和/或加密文件的良性样本之间的通信。”

但提供缓解资源与帮助收回已支付的资金是不同的。在Colonial Pipeline的案例中，联邦调查局和司法部通过使用比特币公共分类账追踪付款回溯到“联邦调查局拥有‘私钥’的特定地址，或大致相当于访问可从特定比特币地址访问的资产所需的密码。”

但并非每个受害组织都是引起白宫注意的关键基础设施提供商，白宫此后呼吁克里姆林宫对位于俄罗斯的勒索软件攻击采取行动。俄罗斯当局上周对与DarkSide有联系的REvil成员进行了罕见的突袭。