En ny ransomware-familie blev netop opdaget af sikkerhedsforskere.
Kaldet Diavol, den nye ransomware blev afdækket i begyndelsen af juni, da Fortinet forhindrede et ransomware-angreb rettet mod en af sine kunder. Efter at have standset angrebet med succes, forskerne isolerede to filer, der, på det tidspunkt, ikke var til stede på VirusTotal: locker.exe og locker64.dll.
Relaterede: DarkRadiation Ransomware er målrettet mod Linux- og Docker-containere
”Mens vi var i stand til at identificere locker64.dll for at være en Conti (v3) ransomware, locker.exe syntes at være helt anderledes. Så, lad os sige hej til en ny ransomware-familie,”Fortinet-forskerne Dor Neeamni og Asaf Rubinfeld skrev i deres detaljerede analyse. De mener, at den nye ransomware kan tilskrives en bestemt cyberkriminel gruppe kendt som Wizard Spider.
Navnet på ransomware kommer fra en URL, der er forbundet med angrebet, forskerne analyseret. Diavol betyder “djævel”.
Et kig ind i Diavol Ransomware
Diavol ransomware dropper en løsesum note, at i et tekstformat i hver mappe i det kompromitterede system. Noten hævder, at angriberne stjal data fra ofrets system. Men, forskerne har ikke opdaget en prøve for at bevise det, så denne påstand kan være en bluff eller en pladsholder for fremtidige muligheder, Sagde Fortinet.
Ransomware bruger en “temmelig unik krypteringsprocedure,”Ved hjælp af asynkron procedureopkald i brugertilstand (APC'er) uden en symmetrisk krypteringsalgoritme. "Som regel, ransomware-forfattere sigter mod at fuldføre krypteringsoperationen på kortest mulig tid. Asymmetriske krypteringsalgoritmer er ikke det oplagte valg, da de er signifikant langsommere end symmetriske algoritmer,”Bemærkede rapporten.
Hvordan trængte Diavol ransomware ind i systemet? Metoden til indtrængen er endnu ikke opdaget. Da forskerne stødte på nogle fejl i den hardkodede konfiguration, de mener, at Diavol ransomware er "et nyt værktøj i dets operatørs arsenal, som de endnu ikke er helt vant til."
Djævel: muligvis arbejdet i Wizard Spider cyberkriminelle gruppe
Der er tilstrækkelig dokumentation til at understøtte muligheden for, at den nye trussel er Wizard Spider-gruppens arbejde. Forskerne fandt flere Conti payloads locker.exe i netværket, styrke denne mulighed.
”På trods af nogle få ligheder mellem Diavol, Conti, og anden relateret ransomware, det er stadig uklart, dog, om der er en direkte forbindelse mellem dem,”Konkluderede rapporten. Mere, der er nogle andre store forskelle fra angreb, der tidligere var knyttet til Wizard Spider, såsom manglende kontrol for at sikre, at nyttelasten ikke udføres på russiske ofre, og manglen på beviser for dobbelt afpresning.
Sidste juli, sikkerhedsforskere opdagede det Conti ransomware er mere avanceret end de fleste ransomware-familier. Ransomware syntes at være programmeret med udvidet hardwarekompatibilitet, gør det muligt at udvide sin behandling over flere CPU-kerner. De analyserede prøver var i stand til at spænde til op til 32 tråde på samme tid, der svarer til den højere ende af desktop- og serverprocessorer, der i øjeblikket er tilgængelige.
Conti-ransomware syntes at være oprettet som et hackingsværktøj til indtrængen på regeringsorganer og store organisationer. Denne form for systemer og netværk er mere tilbøjelige til at huse servere og maskiner med hardwaredele som disse disse højtydende CPU'er.