TrickBot Botnet déploie un nouveau ransomware appelé Diavol

Les acteurs de la menace derrière le tristement célèbre malware TrickBot ont été liés à une nouvelle souche de ransomware nommée « Diavol », selon les dernières recherches.

Les charges utiles des ransomwares Diavol et Conti ont été déployées sur différents systèmes dans le cas d’une attaque infructueuse ciblant l’un de ses clients plus tôt ce mois-ci, ont déclaré la semaine dernière des chercheurs des FortiGuard Labs de Fortinet.

TrickBot, un cheval de Troie bancaire détecté pour la première fois en 2016, est traditionnellement une solution de logiciel criminel basée sur Windows, utilisant différents modules pour effectuer un large éventail d’activités malveillantes sur les réseaux cibles, y compris le vol d’identifiants et la conduite d’attaques de ransomware.

Malgré les efforts des forces de l’ordre pour neutraliser le réseau de bots, le malware en constante évolution s’est avéré être une menace résiliente , les opérateurs basés en Russie — surnommés « Wizard Spider » — adaptant rapidement de nouveaux outils pour mener de nouvelles attaques.

Diavol aurait été déployé dans la nature lors d’un incident à ce jour. La source de l’intrusion reste encore inconnue. Ce qui est clair, cependant, c’est que le code source de la charge utile partage des similitudes avec celui de Conti, même si sa demande de rançon s’est avérée réutiliser un langage du ransomware Egregor.

« Dans le cadre d’une procédure de cryptage plutôt unique, Diavol fonctionne à l’aide d’appels de procédure asynchrones (APC) en mode utilisateur sans algorithme de cryptage symétrique », ont déclaré les chercheurs . « Habituellement, les auteurs de ransomwares visent à terminer l’opération de chiffrement dans les plus brefs délais. Les algorithmes de chiffrement asymétriques ne sont pas le choix évident car ils [sont] significativement plus lents que les algorithmes symétriques. »

Source : https://thehackernews.com/2021/07/trickbot-botnet-found-deploying-new.html?utm_source=social_share