Des chercheurs en cybersécurité ont divulgué des détails sur une première version de développement d’une souche de ransomware naissante appelée Diavol qui a été lié aux acteurs de la menace derrière le tristement célèbre syndicat TrickBot.
Le dernier résultats d’IBM X-Force montrent que l’échantillon de ransomware partage des similitudes avec d’autres logiciels malveillants attribués au gang de cybercriminalité, établissant ainsi un lien plus clair entre les deux.
Début juillet, Fortinet a révélé les détails d’une attaque de ransomware infructueuse impliquant la charge utile Diavol ciblant l’un de ses clients, soulignant que le code source de la charge utile chevauche celui de Conti et sa technique de réutilisation du langage du ransomware Egregor dans sa note de rançon.
« Dans le cadre d’une procédure de cryptage plutôt unique, Diavol fonctionne à l’aide d’appels de procédure asynchrones (APC) en mode utilisateur sans algorithme de cryptage symétrique », ont déclaré précédemment les chercheurs de Fortinet. « Habituellement, les auteurs de ransomwares visent à terminer l’opération de cryptage dans les plus brefs délais. Les algorithmes de cryptage asymétriques ne sont pas le choix évident car ils [are] significativement plus lent que les algorithmes symétriques. »
Maintenant, une évaluation d’un échantillon antérieur de Diavol – compilé le 5 mars 2020 et soumis à VirusTotal le 27 janvier 2021 – a révélé des informations sur le processus de développement du malware, avec le code source capable de mettre fin à des processus arbitraires et de hiérarchiser les types de fichiers à chiffrer sur la base d’une liste préconfigurée d’extensions définies par l’attaquant.
De plus, l’exécution initiale du ransomware l’amène à collecter des informations système, qui sont utilisées pour générer un identifiant unique presque identique à l’ID de Bot généré par le malware TrickBot, à l’exception de l’ajout du champ de nom d’utilisateur Windows.
Les liens de Diavol avec TrickBot se résument également au fait que les en-têtes HTTP utilisés pour la communication de commande et de contrôle (C2) sont configurés pour préférer le contenu en russe, qui correspond à la langue utilisée par les opérateurs.
Un point de similitude entre les deux exemples de ransomware concerne le processus d’enregistrement, où la machine victime utilise l’identifiant créé à l’étape précédente pour s’enregistrer auprès d’un serveur distant. « Cette inscription au botnet est presque identique dans les deux échantillons analysés », ont déclaré Charlotte Hammond et Chris Caridi d’IBM Security. « La principale différence est que l’URL d’enregistrement passe de https://[server_address]/bots/inscrivez-vous sur https://[server_address]/BnpOnspQwtjCA/register. »
Mais contrairement à la variante entièrement fonctionnelle, l’exemple de développement n’a pas seulement ses fonctions d’énumération et de cryptage de fichiers inachevées, il crypte également directement les fichiers avec l’extension « .lock64 » au fur et à mesure qu’ils sont rencontrés, au lieu de s’appuyer sur des appels de procédure asynchrones. Un deuxième écart détecté par IBM est que le fichier d’origine n’est pas supprimé après le chiffrement, évitant ainsi le besoin d’une clé de déchiffrement.
Un autre indice reliant le malware aux acteurs de la menace russes est le code permettant de vérifier la langue du système infecté pour filtrer les victimes en Russie ou dans la région de la Communauté des États indépendants (CEI), une tactique connue adoptée par le groupe TrickBot.
« La collaboration entre les groupes de cybercriminalité, les programmes d’affiliation et la réutilisation du code font tous partie d’une économie croissante des ransomwares », ont déclaré les chercheurs. « Le code Diavol est relativement nouveau dans le domaine de la cybercriminalité, et moins tristement célèbre que Ryuk ou Conti, mais il partage probablement des liens avec les mêmes opérateurs et codeurs blackhat dans les coulisses. »
