El FBI vincula el ransomware Diavol con el grupo de ciberdelincuencia TrickBot

El FBI ha vinculado formalmente la operación de ransomware Diavol con el grupo TrickBot, los desarrolladores de malware detrás del infame troyano bancario TrickBot.

The TrickBot Gang, también conocido como Wizard Spider, son los desarrolladores de infecciones de malware que han devastado las redes corporativas durante años, lo que comúnmente conduce a ataques de ransomware Conti y Ryuk, infiltraciones de red, fraude financiero y espionaje corporativo.

TrickBot Gang es mejor conocido por su homónimo, el troyano bancario TrickBot, pero también está detrás del desarrollo de las puertas traseras BazarBackdoor y Anchor.

El análisis anterior vinculaba a Diavol con el Grupo TrickBot

En julio de 2021, los investigadores de FortiGuard Labs publicaron un análisis de un nuevo ransomware llamado Diavol (diablo en rumano) que se vio dirigido a víctimas corporativas.

Los investigadores vieron cargas útiles de ransomware Diavol y Conti distribuidas a través de una red en el mismo ataque de ransomware a principios de junio de 2021.

Después de analizar las dos muestras de ransomware, se descubrieron similitudes, como el uso de operaciones de E/S asíncronas para la cola de cifrado de archivos y parámetros de línea de comando casi idénticos para la misma funcionalidad.

No había pruebas suficientes en ese momento para vincular formalmente las dos operaciones.

Sin embargo, un mes después, los investigadores de IBM X-Force establecieron una conexión más fuerte entre el ransomware Diavol y otro malware TrickBot Gang, como Anchor y TrickBot.

El FBI vincula el ransomware Diavol con la pandilla TrickBot

Hoy, el FBI anunció formalmente que vinculó Operation Diavol Ransomware a TrickBot Gang en un nuevo aviso que comparte los indicadores de compromiso observados en ataques anteriores.

"El FBI se enteró por primera vez del ransomware Diavol en octubre de 2021. Diavol está asociado con los desarrolladores del Grupo Trickbot, que son responsables del troyano bancario Trickbot", dice el FBI en una nueva alerta Flash del FBI.

Desde entonces, el FBI ha visto demandas de rescate que oscilan entre $ 10,000 y $ 500,000, y se aceptan pagos más bajos después de las negociaciones de rescate.

Estas cantidades contrastan marcadamente con el ransomware más alto exigido por otras operaciones de ransomware relacionadas con TrickBot, como Conti y Ryuk, que históricamente han exigido rescates multimillonarios.

Por ejemplo, en abril, la operación de ransomware Conti reclamó $ 40 millones del distrito escolar del condado de Broward de Florida y $ 14 millones del fabricante de chips Advantech.

El FBI probablemente pudo vincular formalmente a Diavol con TrickBot Gang después del arresto de Alla Witte, una mujer letona involucrada en el desarrollo de ransomware para la pandilla de malware.

Vitali Cremez, CEO de AdvIntel, que supervisó las operaciones de TrickBot, le dijo a BleepingComputer que Witte era responsable del desarrollo del nuevo ransomware relacionado con TrickBot.

"En Witte, desempeñó un papel fundamental en las operaciones de TrickBot y, según la profunda visión contradictoria anterior de AdvIntel, fue responsable del desarrollo del ransomware Diavol y el proyecto frontend/backend destinado a respaldar las operaciones de TrickBot con el ransomware específico. adaptado con la backconectividad del bot entre TrickBot y Diavol”, dijo Kremez a BleepingComputer en una conversación.

"Otro nombre para el ransomware Diavol se llamaba" Enigma "ransomware explotado por el equipo de TrickBot antes del cambio de marca de Diavol".

El aviso del FBI contiene numerosos indicadores de compromiso y mitigación para Diavol, lo que lo convierte en una lectura esencial para todos los profesionales de seguridad y administradores de redes/Windows.

Cabe señalar que el ransomware Diavol creó originalmente notas de rescate denominadas "README_FOR_DECRYPT.txt" como se indica en el aviso del FBI, pero BleepingComputer vio que la banda de ransomware cambió en noviembre a notas de rescate denominadas "Warning.txt".

El FBI también insta a todas las víctimas, independientemente de si tienen la intención de pagar un rescate, a notificar de inmediato a las fuerzas del orden sobre los ataques para reunir nuevos CIO que puedan usar para investigaciones y operaciones de aplicación de la ley.

Si se ve afectado por un ataque de Diavol, también es importante notificar al FBI antes de pagar, ya que "puede proporcionar recursos de mitigación de amenazas a los afectados por el ransomware Diavol".