TrickBot-Botnet mit einer neuen Ransomware namens Diavol gefunden

  • Die Bedrohungsakteure, die hinter der berüchtigten TrickBot-Malware stecken, wurden mit einem neuen Ransomware-Stamm namens “Diavol” in Verbindung gebracht, so die neuesten Untersuchungen.

    Diavol und Conti Ransomware-Payloads wurden bei einem erfolglosen Angriff auf einen Kunden Anfang des Monats auf verschiedenen Systemen eingesetzt, so Forscher von Fortinets FortiGuard Labs letzte Woche.

    TrickBot, ein Banking-Trojaner, der erstmals 2016 entdeckt wurde, ist traditionell eine Windows-basierte Crimeware-Lösung, die verschiedene Module einsetzt, um eine Vielzahl von bösartigen Aktivitäten auf Zielnetzwerken durchzuführen, einschließlich des Diebstahls von Anmeldeinformationen und der Durchführung von Ransomware-Angriffen.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Trotz der Bemühungen der Strafverfolgungsbehörden, das Bot-Netzwerk zu neutralisieren, hat sich die sich ständig weiterentwickelnde Malware als eine widerstandsfähige Bedrohung erwiesen, da die in Russland ansässigen Betreiber – genannt “Wizard Spider” – schnell neue Tools anpassen, um weitere Angriffe durchzuführen.

    [Blocked Image: https://thehackernews.com/images/-j6s3pIf227g/YOLTKECG80I/AAAAAAAADGI/4FLS3Uj74UUNbLkx-KjF-67n-8hcEM_uQCLcBGAsYHQ/s0/ransomware.jpg]

    Diavol soll bisher bei einem Vorfall in freier Wildbahn eingesetzt worden sein. Die Quelle des Eindringens ist noch nicht bekannt. Klar ist jedoch, dass der Quellcode der Nutzlast Ähnlichkeiten mit dem von Conti aufweist, auch wenn die Lösegeldforderung einige Formulierungen der Ransomware Egregor wiederverwendet.

    “Als Teil eines ziemlich einzigartigen Verschlüsselungsverfahrens arbeitet Diavol mit Asynchronous Procedure Calls (APCs) im Benutzermodus ohne einen symmetrischen Verschlüsselungsalgorithmus”, so die Forscher. “Normalerweise zielen Ransomware-Autoren darauf ab, den Verschlüsselungsvorgang in möglichst kurzer Zeit abzuschließen. Asymmetrische Verschlüsselungsalgorithmen sind nicht die offensichtliche Wahl, da sie [are] deutlich langsamer sind als symmetrische Algorithmen.”

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Ein weiterer Aspekt von Ransomware, der auffällt, ist die Tatsache, dass sie sich auf eine Anti-Analyse-Technik verlässt, um ihren Code in Form von Bitmap-Bildern zu verschleiern, aus denen die Routinen in einen Puffer mit Ausführungsberechtigungen geladen werden.

    Vor dem Sperren von Dateien und dem Ändern des Desktop-Hintergrunds mit einer Lösegeldnachricht gehören zu den wichtigsten Funktionen, die Diavol ausführt, die Registrierung des Opfergeräts bei einem Remote-Server, das Beenden laufender Prozesse, das Auffinden lokaler Laufwerke und Dateien im System zum Verschlüsseln und das Verhindern einer Wiederherstellung durch Löschen von Schattenkopien.

    [Blocked Image: https://thehackernews.com/images/-cWfek2NW1_M/YOLTJWXt2kI/AAAAAAAADGE/9JZldGSGWiU5VQj6IPkRRpVXjpkFuGXdACLcBGAsYHQ/s0/Diavol-ransomware.jpg]

    Wizard Spiders aufkeimende Ransomware-Bemühungen fallen auch mit “neuen Entwicklungen des TrickBot-Webinject-Moduls” zusammen, wie das Threat Intelligence-Team von Kryptos Logic berichtet, was darauf hindeutet, dass die finanziell motivierte Cybercrime-Gruppe ihr Malware-Arsenal immer noch aktiv umrüstet.

    “TrickBot hat sein Bankbetrugsmodul zurückgebracht, das aktualisiert wurde, um Webinjects im Zeus-Stil zu unterstützen”, twitterte der Cybersecurity-Forscher Marcus Hutchins. “Das könnte darauf hindeuten, dass sie ihre Bankbetrugsoperationen wieder aufnehmen und planen, den Zugang zu denjenigen zu erweitern, die mit ihrem internen Webinject-Format nicht vertraut sind.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com