Diavol: novo ransomware pode ser de grupo bem conhecido

Views: 67
0 0
Read Time:2 Minute, 31 Second

Por Felipe Demartini

Uma análise especializada da praga de sequestro digital Diavol, que vem liderando rankings de ameaças globais desde junho, apontou que a praga pode ser a mais nova obra do já conhecido grupo cibercriminoso TrickBot. As similaridades em códigos, funcionamento, formatos de envio de dados e preferência de idioma mostram um desenvolvedor em comum e, também, que o escrutínio das autoridades ainda passa longe de interromper a ação do bando.

O relatório do time de segurança X-Force, da IBM, corrobora achados que já haviam sido feitos em julho pela Fortinet. A partir de uma análise de uma versão preliminar do Diavol, da época em que ele parecia ainda estar em fase de testes, revelou elementos de programação semelhantes ao do Anchor DNS, outro malware atribuído ao TrickBot e usado em ataques contra corporações de alto escalão.

A versão, datada de março de 2021, se comunica com servidores sob o controle dos criminosos enviando nomes de usuário, identificadores e a versão do Windows dos sistemas comprometidos, como forma de entregar aos criminosos um inventário das intrusões bem-sucedidas. O formato como o dado é complicado, assim como dos próprios dígitos atribuídos a cada máquina infectada, é idêntico ao usado pelos bandidos.

O inventário também serve para a principal forma de atuação do TrickBot, que é o sistema de ransomware como serviço. As soluções maliciosas desenvolvidas por eles são vendidas a terceiros interessados em praticar ataques, com divisão de lucros com os autores originais, que também fornecem suporte, sistemas de controle e avaliação de plataformas comprometidas, bem como eventuais vulnerabilidades que possam ser exploradas.

Código apresenta menção ao idioma russo

Diversas menções ou utilizações do idioma russo também aparecem ao longo do código, como no cabeçalho das comunicações com os servidores e a preferência por arquivos e sistemas operacionais do país. Ao contrário do que normalmente é dito, entretanto, os bandidos não teriam afiliação ao governo do país, pois atacam companhias de lá, bem como da Comunidade dos Estados Independentes, formada a partir da antiga União Soviética.

A comparação entre as duas análises de especialistas também mostra que as menções à Rússia foram removidas do código final, que foi efetivamente utilizado em ataques contra corporações a partir de junho. Eles não constam na amostra avaliada pela Fortinet, no que poderia ser uma forma de esconder as origens da praga ou aumentar seu escopo, apesar de a IBM apontar que os recursos estão desenvolvidos a tal ponto que indicam a intenção de uso, seja em futuras versões ou variantes do malware focadas no território.

Mais do que isso, a localização de diferentes edições do Diavol também mostra que o bando está evoluindo o malware, de forma a torna-lo mais eficaz e furtivo aos sistemas de segurança. Novamente, a ideia é que a forte atenção, principalmente das autoridades americanas, sobre os criminosos do TrickBot não está impedindo sua atuação direta, algo que, por si só, já era provado pela presença constante em listas mensais de ameaças mais populares.

FONTE: CANALTECH

Previous post Minsait apoia empresas de energia na adaptação às normas de controles de cibersegurança
Next post Resgates pagos em ataques de ransomware sobem 82% no 1º semestre de 2021

Deixe um comentário