研究人员发现新证据表明Diavol勒索软件与TrickBot团伙有关

网络安全研究人员已经披露了一种叫做魔鬼这与臭名昭著的魔术师辛迪加背后的威胁者有关。

IBM X-Force的最新调查结果显示，勒索软件样本与网络犯罪团伙的其他恶意软件有相似之处，从而在两者之间建立了更清晰的联系。

7月初，Fortinet披露了一次不成功的勒索软件攻击的细节，该攻击涉及Diavol payload，目标是其一名客户，强调了该恶意软件的源代码与Conti的源代码重叠，以及在勒索说明中重复使用Egregor勒索软件的某些语言的技术。

“作为一个相当独特的加密过程的一部分，Diavol使用用户模式异步过程调用（APC）进行操作，而不使用对称加密算法，”Fortinet研究人员此前表示。“通常，勒索软件作者的目标是在最短的时间内完成加密操作。不对称加密算法不是明显的选择，因为它们比对称算法慢得多。”

现在是对Diavol—；编译于2020年3月5日，提交于2021年1月27日和第8212页的VuuStoTar；揭示了恶意软件的开发过程，源代码能够终止任意进程，并根据攻击者定义的预先配置的扩展名列表对要加密的文件类型进行优先级排序。

更重要的是，勒索软件的初始执行会导致它收集系统信息，该信息用于生成一个唯一标识符，该标识符几乎与TrickBot恶意软件生成的机器人ID相同，只是添加了Windows用户名字段。

两个勒索软件样本之间的一个相似点涉及注册过程，其中受害机器使用在上一步中创建的标识符向远程服务器注册自身。IBM Security的夏洛特·哈蒙德（Charlotte Hammond）和克里斯·卡里迪（Chris Caridi）说：“在所分析的两个样本中，僵尸网络的注册几乎相同。”。“主要区别是注册URL从https://[server_address]/bots/register更改为https://[server_address]/BnpOnspQwtjCA/register。”

但与全功能变体不同的是，开发示例不仅没有完成其文件枚举和加密功能，而且在遇到扩展名为“.lock64”的文件时，还直接对其进行加密，而不是依赖于异步过程调用。IBM检测到的第二个偏差是，原始文件在加密后没有被删除，因此不需要解密密钥。

Diavol与TrickBot的链接也可以归结为这样一个事实：用于指挥与控制（C2）通信的HTTP头被设置为更喜欢俄语内容，这与操作员使用的语言相匹配。

将恶意软件与俄罗斯威胁行为体联系起来的另一条线索是检查受感染系统上的语言以过滤俄罗斯或独立国家联合体（CIS）地区的受害者的代码，这是TrickBot集团采用的已知策略。

研究人员说：“网络犯罪组织之间的合作、分支程序和代码重用都是勒索软件经济增长的一部分。”。“Diavol代码在网络犯罪领域相对较新，不像Ryuk或Conti那么臭名昭著，但它可能与幕后的同一运营商和黑帽编码者有着共同的联系。”