新しいランサムウェアファミリーがセキュリティ研究者によって発見されました.
ディアボルと呼ばれる, 新しいランサムウェアは6月の初めに発見されました, フォーティネットが顧客の1人を標的としたランサムウェア攻撃を阻止したとき. 攻撃を正常に停止した後, 研究者は2つのファイルを分離しました, その時, VirusTotalには存在しませんでした: locker.exeおよびlocker64.dll.
関連している: DarkRadiationランサムウェアはLinuxおよびDockerコンテナをターゲットにしています
「locker64.dllをContiであると特定することはできましたが (v3) ランサムウェア, locker.exeは完全に異なっているように見えました. そう, 新しいランサムウェアファミリーに挨拶しましょう,フォーティネットの研究者であるDorNeeamniとAsafRubinfeldは、詳細な分析で次のように書いています。. 彼らは、新しいランサムウェアがウィザードスパイダーとして知られている特定のサイバー犯罪グループに起因する可能性があると信じています.
ランサムウェアの名前は、研究者の攻撃に関連するURLに由来しています 分析. Diavolは “悪魔”.
Diavolランサムウェアの内部を見る
Diavolランサムウェアは、侵害されたシステムのすべてのフォルダにテキスト形式で身代金メモをドロップします. このメモは、攻撃者が被害者のシステムからデータを盗んだと主張しています. でも, 研究者はそれを証明するサンプルを発見していません, したがって、この主張は、将来の機能のブラフまたはプレースホルダーになる可能性があります, フォーティネットは言った.
ランサムウェアは「かなりユニークな暗号化手順を使用します,」ユーザーモードの非同期プロシージャコールを使用 (APC) 対称暗号化アルゴリズムなし. "いつもの, ランサムウェアの作成者は、最短時間で暗号化操作を完了することを目指しています. 非対称暗号化アルゴリズムは、対称アルゴリズムよりも大幅に遅いため、明白な選択ではありません。,」と報告書は述べています.
Diavolランサムウェアはどのようにシステムに侵入しましたか? 侵入の方法はまだ発見されていません. 研究者がハードコードされた構成でいくつかのエラーに遭遇したので, 彼らは、Diavolランサムウェアは、「まだ完全には慣れていない、そのオペレーターの武器庫にある新しいツール」であると信じています。
ディアボル: おそらくウィザードスパイダーサイバー犯罪グループの仕事
新しい脅威がウィザードスパイダーグループの仕事である可能性を裏付ける十分な証拠があります. 研究者は、ネットワーク内でより多くのContiペイロードlocker.exeを発見しました, その可能性を強化する.
「Diavol間のいくつかの類似点にもかかわらず, コンティ, およびその他の関連するランサムウェア, まだ不明です, でも, それらの間に直接リンクがあるかどうか,」レポートは結論を出しました. プラス, 以前にウィザードスパイダーにリンクされていた攻撃とは、他にもいくつかの大きな違いがあります, ペイロードがロシアの犠牲者に実行されないことを確認するためのチェックの欠如など, と二重恐喝の証拠の欠如.
昨年7月, セキュリティ研究者はそれを発見しました Contiランサムウェアは、ほとんどのランサムウェアファミリよりも高度です. ランサムウェアは、拡張されたハードウェア互換性でプログラムされているように見えました, 複数のCPUコアに処理を拡張できるようにします. 分析されたサンプルは、最大で 32 現在利用可能なデスクトップおよびサーバープロセッサのハイエンドに対応する同時にスレッド.
Contiランサムウェアは、政府機関や大規模な組織への侵入に対するハッキングツールとして作成されたようです。. これらの種類のシステムおよびネットワークは、これらの高性能CPUなどのハードウェア部品を備えたサーバーおよびマシンを収容する可能性が高くなります。.