针对勒索软件Diavol与制作TrickBot的黑客组织的关联

安全企业Fortinet在7月初披露名为的Diavol勒索软件,并基于与Conti有许多公用的特性,认为可能是出自制作Trickbot僵尸病毒的黑客“Wizard Spider”之手。对于这个勒索软件的研究,最近出现了新的进展:IBM X-Force威胁情报研究团队指出,他们找到了Diavol的早期开发版本并进行研究,根据程序代码的编排方式来判断,这款勒索软件应该就是来自Wizard Spider。

原本IBM进行研究的动机,是想要针对Fortinet发现的Diavol进一步分析,但他们找到了另一款Diavol勒索软件的文件,与先前被Fortinet发现的勒索软件存在许多相似之处,其中最主要的差别,是IBM找到的版本仍处于开发阶段,看起来是黑客用来测试的文件,而不像Fortinet找到的文件,已经是具备完整功能的勒索软件。

这两个版本的Diavol编译时间存在明显的出入,IBM指出,Fortine发现的版本于2021年4月30日编译,但他们找到的是在2020年3月5日制作。此外,这个开发版本的文件,在2021年1月27日被上传到恶意软件分析平台VirusTotal,文件名称为malware.exe。

再者,针对加密文件的方式,开发版本的Diavol与后继版本也有所不同──开发版本采用RSA算法,攻击者可设置需要优先加密的文件类型,并且能终止指定的处理程序或是服务,以免加密文件的过程遭到中断。相较之下,先前被披露的版本采用了异步程序调用(Asynchronous Procedure Calls,APC),取代许多勒索软件使用的对称式加密机制。

此外,由于是开发版本,研究人员表示,他们执行Diavol的过程中,虽然会将文件加密,但不会删除源文件案,如果被拿来用于攻击行动,受害者根本不会支付赎金。

而为何会IBM认为Diavol出自Wizard Spider?该公司提出两项发现。首先,针对Diavol执行的过程中,该勒索软件会结合收集到的受害计算机信息,产生一组Bot ID,以便攻击者进行关注,这组。而IBM发现,这组Bot ID的格式,与TrickBot恶意软件几乎相同,仅增加了用户名(username)的部分,而这样的格式,特征也与Wizard Spider另一款恶意软件Anchor DNS相似。

另一项与Wizard Spider有关的证据,则是与黑客偏好的语言有关。研究人员指出,在Diavol开发版与C2服务器通信的HTTP标头中,设置偏好以俄语呈现内容,而操作TrickBot的黑客也惯用俄文。

而与语言相关的线索,还有开发版本Diavol具备检查受害计算机操作系统语言的机制,一旦发现是位于俄罗斯,或是独立国家国协(Commonwealth of Independent States)的计算机,就不会发动攻击。