Sicherheitsforscher haben gerade eine neue Ransomware-Familie entdeckt.
Genannt Diavol, die neue Ransomware wurde Anfang Juni entdeckt, als Fortinet einen Ransomware-Angriff auf einen seiner Kunden verhinderte. Nach erfolgreichem Stoppen des Angriffs, Die Forscher haben zwei Dateien isoliert, die, zu dieser Zeit, waren bei VirusTotal nicht vorhanden: lock.exe und lock64.dll.
verbunden: DarkRadiation Ransomware zielt auf Linux- und Docker-Container
„Während wir Locker64.dll als Conti (v3) Ransomware, Locker.exe schien ganz anders zu sein. So, Sagen wir Hallo zu einer neuen Ransomware-Familie,“ Fortinet-Forscher Dor Neeamni und Asaf Rubinfeld schrieben in ihrer detaillierten Analyse. Sie glauben, dass die neue Ransomware einer bestimmten cyberkriminellen Gruppe namens Wizard Spider zugeschrieben werden kann.
Der Name der Ransomware stammt von einer URL, die mit dem Angriff in Verbindung steht, die Forscher analysiert. Diavol bedeutet “Teufel”.
Ein Blick in die Diavol Ransomware
Die Diavol-Ransomware legt eine Lösegeldforderung in einem Textformat in jedem Ordner des kompromittierten Systems ab. Die Notiz behauptet, dass die Angreifer Daten aus dem System des Opfers gestohlen haben. Jedoch, die Forscher haben keine Probe entdeckt, um das zu beweisen, Diese Behauptung kann also ein Bluff oder ein Platzhalter für zukünftige Fähigkeiten sein, Fortinet sagte.
Die Ransomware verwendet ein „ziemlich einzigartiges Verschlüsselungsverfahren“,” mit asynchronen Prozeduraufrufen im Benutzermodus (APCs) ohne symmetrischen Verschlüsselungsalgorithmus. "In der Regel, Ransomware-Autoren sind bestrebt, den Verschlüsselungsvorgang in kürzester Zeit abzuschließen. Asymmetrische Verschlüsselungsalgorithmen sind nicht die offensichtliche Wahl, da sie deutlich langsamer sind als symmetrische Algorithmen,”Stellte der Bericht fest.
Wie ist die Ransomware Diavol in das System eingedrungen?? Die Methode des Eindringens muss noch entdeckt werden. Da sind die Forscher auf einige Fehler in der hartcodierten Konfiguration gestoßen, sie glauben, dass die Ransomware Diavol „ein neues Werkzeug im Arsenal ihrer Betreiber ist, an das sie noch nicht vollständig gewöhnt sind“.
Teufel: möglicherweise die Arbeit der Cyberkriminellengruppe Wizard Spider
Es gibt genügend Beweise für die Möglichkeit, dass die neue Bedrohung das Werk der Wizard Spider-Gruppe ist. Die Forscher fanden weitere Conti-Payloads Locker.exe im Netzwerk, Stärkung dieser Möglichkeit.
„Trotz einiger Ähnlichkeiten zwischen Diavol, Conti, und andere verwandte Ransomware, es ist noch unklar, jedoch, ob es eine direkte Verbindung zwischen ihnen gibt,Der Bericht schloss. Mehr, Es gibt einige andere wichtige Unterschiede zu Angriffen, die zuvor mit Wizard Spider in Verbindung gebracht wurden, wie das Fehlen von Kontrollen, um sicherzustellen, dass die Nutzlast nicht bei russischen Opfern ausgeführt wird, und das Fehlen von Beweisen für doppelte Erpressung.
Letzten Juli, Sicherheitsforscher haben das entdeckt die Conti-Ransomware ist fortgeschrittener als die meisten Ransomware-Familien. Die Ransomware schien mit erweiterter Hardwarekompatibilität programmiert zu sein, ermöglicht es, seine Verarbeitung auf mehrere CPU-Kerne auszudehnen. Die analysierten Proben konnten bis zu 32 Threads gleichzeitig, was dem oberen Ende der derzeit verfügbaren Desktop- und Serverprozessoren entspricht.
Die Ransomware Conti wurde offenbar als Hacker-Tool für das Eindringen in Regierungsbehörden und große Organisationen entwickelt. Diese Art von Systemen und Netzwerken beherbergen eher Server und Maschinen mit Hardwareteilen wie diesen Hochleistungs-CPUs.