Los investigadores de seguridad cibernética han revelado detalles sobre una versión de desarrollo inicial de una cepa de ransomware naciente llamada demonio que se ha relacionado con actores de amenazas detrás del infame sindicato TrickBot.
Los últimos hallazgos de IBM X-Force muestran que la muestra de ransomware comparte similitudes con otro malware que se ha atribuido a la pandilla del cibercrimen, estableciendo así una conexión más clara entre los dos.
A principios de julio, Fortinet reveló los detalles de un ataque fallido de ransomware que involucraba la carga útil de Diavol dirigida a uno de sus clientes, destacando que el código fuente del malware se superpone con el de Conti y su técnica de reutilizar parte del lenguaje del ransomware Egregor en su nota de rescate.
«Como parte de un procedimiento de encriptación bastante único, Diavol opera utilizando llamadas de procedimiento asíncrono (APC) en modo de usuario sin un algoritmo de encriptación simétrica», dijeron anteriormente los investigadores de Fortinet. «Por lo general, los autores de ransomware tienen como objetivo completar la operación de encriptación en el menor tiempo posible. Los algoritmos de encriptación asimétrica no son la opción obvia, ya que [are] significativamente más lento que los algoritmos simétricos».
Ahora, una evaluación de una muestra anterior de Diavol, compilada el 5 de marzo de 2020 y enviada a VirusTotal el 27 de enero de 2021, ha revelado información sobre el proceso de desarrollo del malware, con el código fuente capaz de terminar procesos arbitrarios y priorizar tipos de archivos para cifrar en función de una lista preconfigurada de extensiones definidas por el atacante.
Además, la ejecución inicial del ransomware conduce a la recopilación de información del sistema, que se utiliza para generar un identificador único que es casi idéntico al ID de Bot generado por el malware TrickBot, excepto por la adición del campo de nombre de usuario de Windows.
Un punto de similitud entre las dos muestras de ransomware se refiere al proceso de registro, donde la máquina víctima usa el identificador creado en el paso anterior para registrarse en un servidor remoto. «Este registro en la botnet es casi idéntico en ambas muestras analizadas», dijeron Charlotte Hammond y Chris Caridi de IBM Security. «La principal diferencia es que la URL de registro cambia de https: //[server_address]/bots/registrarse en https: //[server_address]/BnpOnspQwtjCA/registrarse».
Pero a diferencia de la variante completamente funcional, la muestra de desarrollo no solo tiene sus funciones de cifrado y enumeración de archivos sin terminar, sino que también cifra directamente los archivos con la extensión «.lock64» a medida que se encuentran, en lugar de depender de llamadas a procedimientos asincrónicos. Una segunda desviación detectada por IBM es que el archivo original no se elimina después del cifrado, lo que evita la necesidad de una clave de descifrado.
Los enlaces de Diavol a TrickBot también se reducen al hecho de que los encabezados HTTP utilizados para la comunicación de comando y control (C2) están configurados para preferir el contenido en idioma ruso, que coincide con el idioma utilizado por los operadores.
Otra pista que vincula el malware con los actores de amenazas rusos es el código para verificar el idioma en el sistema infectado para filtrar a las víctimas en Rusia o en la región de la Comunidad de Estados Independientes (CEI), una táctica conocida adoptada por el grupo TrickBot.
«La colaboración entre los grupos de delitos informáticos, los programas de afiliados y la reutilización de códigos son partes de una economía de ransomware en crecimiento», dijeron los investigadores. «El código Diavol es relativamente nuevo en el área del delito cibernético y menos infame que Ryuk o Conti, pero probablemente comparte vínculos con los mismos operadores y codificadores blackhat detrás de escena».
