اكتشف مكتب التحقيقات الفيدرالي أن برنامج Diavol ransomware يستخدم نفس الطريقة لبصمات الأجهزة الضحية مثل Trickbot و Trickbot ذات الصلة ببرنامج Anchor DNS الضار.
مكتب التحقيقات الفيدرالي (FBI) لديه أدلة مفصلة تربط Diavol ransomware الجديد TrickBot Group ، العصابة الغزيرة التي تقف وراء حصان طروادة المصرفي الذي يحمل نفس الاسم.
ضرب Diavol رادارات الباحثين في منتصف عام 2021 عندما نشرت Fortinet تحليلًا تقنيًا لـ Diavol الذي أنشأ بعض الروابط لـ Wizard Spider ، وهو اسم آخر لـ Trickbot Group ، والذي كان الباحثون يتتبعونه أيضًا فيما يتعلق بـ "الابتزاز المزدوج" Ryuk ransomware .
يتم نشر Ryuk بشكل انتقائي ضد الأهداف عالية القيمة التي تتعرض لمضرب ابتزاز مزدوج ، حيث يتم تشفير بياناتهم وسرقتها ومن ثم تسريبها ما لم يتم دفع فدية.
تشتمل أدوات Trickbot على Anchor_DNS backdoor ، وهي أداة لنقل البيانات بين الأجهزة الضحية والخوادم التي يتحكم فيها Trickbot باستخدام نفق نظام اسم المجال (DNS) لإخفاء حركة المرور الضارة مع حركة مرور DNS العادية.
كان مكتب التحقيقات الفدرالي في ديافول منذ أكتوبر. ارتباطه بين Diavol و Trickbot هو أن معرف الروبوت الفريد (معرف الروبوت) الذي تم إنشاؤه بواسطة Diavol لكل ضحية "مطابق تقريبًا" للتنسيق المستخدم بواسطة برنامج Trickbot و Anchor_DNS الضارة. بمجرد إنشاء معرف Bot بواسطة Diavol ، يتم تشفير الملفات الموجودة على هذا الجهاز وإلحاقها بامتداد الملف ".lock64" ويعرض الجهاز رسالة الفدية.
قال مكتب التحقيقات الفدرالي في مذكرة عاجلة جديدة: "Diavol مرتبطة بالمطورين من Trickbot Group ، المسؤولين عن Trickbot Banking Trojan" ، محذرًا من أنه شهد طلبات ابتزاز تصل إلى 500000 دولار.
على عكس ريوك ، لم ير مكتب التحقيقات الفيدرالي Diavol يسرب بيانات الضحايا ، على الرغم من رسالة المجموعة التي تحتوي على تهديد للقيام بذلك. تنص مذكرة فدية Diavol على ما يلي:
"ضع في الاعتبار أننا قمنا أيضًا بتنزيل البيانات من شبكتك
أنه في حالة عدم الدفع سيتم نشرها على موقعنا الإخباري ".
قال مكتب التحقيقات الفدرالي: "تقوم Diavol بتشفير الملفات فقط باستخدام مفتاح تشفير RSA ، والرمز الخاص بها قادر على إعطاء الأولوية لأنواع الملفات للتشفير بناءً على قائمة من الملحقات التي تم تكوينها مسبقًا والتي حددها المهاجم".
"في حين تراوحت طلبات الفدية من 10000 دولار إلى 500000 دولار ، كان ممثلو Diavol على استعداد لإشراك الضحايا في مفاوضات للحصول على فدية وقبول مدفوعات أقل."
على الرغم من أن مكتب التحقيقات الفيدرالي يقر بأن بعض الضحايا قد تفاوضوا على الحصول على فدية مع الجهات الفاعلة في Diavol ، إلا أنه لا يزال يثبط الاتفاقات لأنه لا يضمن استرداد الملفات وينصح بعدم الدفع لأنه قد يشجع المهاجمين ويمول الهجمات المستقبلية.
من ناحية أخرى ، يعرب مكتب التحقيقات الفيدرالي عن تعاطفه مع الضحايا الذين يتفاوضون مع المهاجمين.
وقالت: "يتفهم مكتب التحقيقات الفيدرالي أنه عندما يواجه الضحايا عدم القدرة على العمل ، يتم تقييم جميع الخيارات لحماية المساهمين والموظفين والعملاء. قد يكون مكتب التحقيقات الفيدرالي قادرًا على توفير موارد تخفيف التهديدات لأولئك المتضررين من Diavol ransomware".
كما يدعو مكتب التحقيقات الفيدرالي (FBI) المنظمات الضحية للمشاركة معها "سجلات الحدود التي تعرض الاتصال من وإلى عناوين IP الأجنبية ، ومعلومات محفظة Bitcoin ، وملف فك التشفير ، و / أو عينة حميدة من ملف مشفر."
لكن توفير موارد التخفيف يختلف عن المساعدة في استرداد الأموال المدفوعة. في حالة شركة كولونيال بايبلاين ، استعاد مكتب التحقيقات الفيدرالي ووزارة العدل حوالي نصف الأموال المبتزعة باستخدام دفتر الأستاذ العام للبيتكوين لتتبع المدفوعات إلى "عنوان محدد ، يمتلك مكتب التحقيقات الفيدرالي" المفتاح الخاص "له ، أو ما يعادله تقريبًا كلمة مرور مطلوبة للوصول إلى الأصول التي يمكن الوصول إليها من عنوان Bitcoin المحدد. "
لكن ليست كل منظمة ضحية هي مزود أساسي للبنية التحتية يجذب انتباه البيت الأبيض ، الذي دعا الكرملين منذ ذلك الحين إلى اتخاذ إجراءات ضد هجمات الفدية الموجودة في روسيا. شنت السلطات الروسية الأسبوع الماضي غارة نادرة على أعضاء من REvil التي لها صلات بـ DarkSide.
