PCPress.rs Image
News 

TrickBot Botnet – novi Ransomware pod nazivom Diavol

Tijana Barašević

Akteri pretnji koji stoje iza zloglasnog malvera TrickBot povezani su sa novim sojem ransomwarea pod nazivom “Diavol”.

PCPress.rs Image

Trojanac se pokazao kao veoma otporan

Diavol i Conti ransomware payloads raspoređeni su na različitim sistemima u slučaju neuspešnog napada na jednog od njegovih kupaca ranije ovog meseca, rekli su prošle nedelje istraživači iz Fortinet-ove FortiGuard Labs. TrickBot, bankarski trojanski virus koji je prvi put otkriven 2016. godine, tradicionalno je kriminalno rešenje zasnovano na operativnom sistemu Windows i koristi različite module za obavljanje širokog spektra zlonamernih aktivnosti na ciljnim mrežama, uključujući krađu poverljivih podataka i sprovođenje napada ransomware-a. Uprkos naporima organa za sprovođenje zakona da neutrališu botovsku mrežu, neprekidno razvijajući malver se pokazao kao vrlo otporna pretnja.

Kaže se da je Diavol do danas učestvovao u jednom incidentu. Izvor upada još uvek nije poznat. Jasno je, međutim, da izvorni kod payload-a ima sličnosti sa Conti-jem, iako je utvrđeno da se u potraživanju otkupnine ponovo koristi neki jezik iz Egregor ransomware-a. Kao deo prilično jedinstvene procedure šifrovanja, Diavol radi koristeći asinhrone pozive procedura (Asynchronous Procedure Calls – APC) u korisničkom režimu bez simetričnog algoritma šifrovanja, rekli su istraživači. Obično autori ransomware-a žele da dovrše operaciju šifrovanja u najkraćem vremenu.

Pročitajte i:  Stručnjaci tvrde da će AI unaprediti hakerske napade

Asimetrični algoritmi šifrovanja nisu očigledan izbor jer su znatno sporiji od simetričnih algoritama. Još jedan aspekt ransomware-a koji se izdvaja, je oslanjanje na tehniku anti-analize kako bi zametnuo svoj kod u obliku bitmap slika, odakle se rutine učitavaju u buffer sa dozvolama za izvršavanje. Pre zaključavanja fajlova i promene desktopa u otkupnu poruku, neke od glavnih funkcija koje je Diavol obavljao uključuju registraciju žrtvinog uređaja na udaljeni server, okončanje izvršenih procesa, pronalaženje lokalnih diskova i fajlova u sistemu za šifrovanje i sprečavanje oporavka brisanjem kopija.

Izvor: Thehackernews

Facebook komentari:
SBB

Tagovi: , ,