Diavol: novo ransomware pode ser de grupo bem conhecido
Por Felipe Demartini | Editado por Claudio Yuge | 18 de Agosto de 2021 às 21h40
Uma análise especializada da praga de sequestro digital Diavol, que vem liderando rankings de ameaças globais desde junho, apontou que a praga pode ser a mais nova obra do já conhecido grupo cibercriminoso TrickBot. As similaridades em códigos, funcionamento, formatos de envio de dados e preferência de idioma mostram um desenvolvedor em comum e, também, que o escrutínio das autoridades ainda passa longe de interromper a ação do bando.
- Malwares que preparam ataques ransomware foram as ameaças mais comuns em julho
- EUA oferecem até US$ 10 milhões para hackers que ajudem a identificar ameaças
- Quase 1/3 das empresas brasileiras sofreram ataques por usarem senhas fracas
O relatório do time de segurança X-Force, da IBM, corrobora achados que já haviam sido feitos em julho pela Fortinet. A partir de uma análise de uma versão preliminar do Diavol, da época em que ele parecia ainda estar em fase de testes, revelou elementos de programação semelhantes ao do Anchor DNS, outro malware atribuído ao TrickBot e usado em ataques contra corporações de alto escalão.
A versão, datada de março de 2021, se comunica com servidores sob o controle dos criminosos enviando nomes de usuário, identificadores e a versão do Windows dos sistemas comprometidos, como forma de entregar aos criminosos um inventário das intrusões bem-sucedidas. O formato como o dado é complicado, assim como dos próprios dígitos atribuídos a cada máquina infectada, é idêntico ao usado pelos bandidos.
O inventário também serve para a principal forma de atuação do TrickBot, que é o sistema de ransomware como serviço. As soluções maliciosas desenvolvidas por eles são vendidas a terceiros interessados em praticar ataques, com divisão de lucros com os autores originais, que também fornecem suporte, sistemas de controle e avaliação de plataformas comprometidas, bem como eventuais vulnerabilidades que possam ser exploradas.
Código apresenta menção ao idioma russo
Diversas menções ou utilizações do idioma russo também aparecem ao longo do código, como no cabeçalho das comunicações com os servidores e a preferência por arquivos e sistemas operacionais do país. Ao contrário do que normalmente é dito, entretanto, os bandidos não teriam afiliação ao governo do país, pois atacam companhias de lá, bem como da Comunidade dos Estados Independentes, formada a partir da antiga União Soviética.
A comparação entre as duas análises de especialistas também mostra que as menções à Rússia foram removidas do código final, que foi efetivamente utilizado em ataques contra corporações a partir de junho. Eles não constam na amostra avaliada pela Fortinet, no que poderia ser uma forma de esconder as origens da praga ou aumentar seu escopo, apesar de a IBM apontar que os recursos estão desenvolvidos a tal ponto que indicam a intenção de uso, seja em futuras versões ou variantes do malware focadas no território.
Mais do que isso, a localização de diferentes edições do Diavol também mostra que o bando está evoluindo o malware, de forma a torna-lo mais eficaz e furtivo aos sistemas de segurança. Novamente, a ideia é que a forte atenção, principalmente das autoridades americanas, sobre os criminosos do TrickBot não está impedindo sua atuação direta, algo que, por si só, já era provado pela presença constante em listas mensais de ameaças mais populares.
Fonte: IBM