FBI, Diavol Fidye Yazılımını TrickBot Siber Suç Grubuna Bağladı
FBI, Diavol fidye yazılımı operasyonunu, kötü şöhretli TrickBot bankacılık truva atının arkasındaki kötü amaçlı yazılım geliştiricileri olan TrickBot Group ile resmi olarak ilişkilendirdi.
Wizard Spider olarak da bilinen TrickBot Gang, kurumsal ağlarda yıllarca hasara yol açan ve genellikle Conti ve Ryuk fidye yazılımı saldırılarına, ağ sızmasına, finansal dolandırıcılığa ve kurumsal casusluğa yol açan kötü amaçlı yazılım enfeksiyonlarının geliştiricileridir.
TrickBot Gang, en çok adaşı olan TrickBot bankacılık truva atı ile tanınır, ancak aynı zamanda BazarBackdoor ve Anchor arka kapılarının geliştirilmesinin de arkasındadır.
Önceki analiz, Diavol'u TrickBot Group'a bağladı
Temmuz 2021'de FortiGuard Labs araştırmacıları, kurumsal kurbanları hedef aldığı görülen Diavol (Rumence for Devil) adlı yeni bir fidye yazılımının analizini yayınladı.
Araştırmacılar, Haziran 2021'in başlarında aynı fidye yazılımı saldırısında bir ağ üzerinde konuşlandırılan hem Diavol hem de Conti fidye yazılımı yüklerini gördüler.
İki fidye yazılımı örneğini analiz ettikten sonra, dosya şifreleme kuyruğu için eşzamansız G/Ç işlemlerini kullanmaları ve aynı işlevsellik için neredeyse aynı komut satırı parametreleri gibi benzerlikler keşfedildi.
O zaman, iki operasyonu resmi olarak ilişkilendirecek yeterli kanıt yoktu.
Ancak, bir ay sonra, IBM X-Force araştırmacıları, Diavol fidye yazılımı ile TrickBot Gang'ın Anchor ve TrickBot gibi diğer kötü amaçlı yazılımları arasında daha güçlü bir bağlantı kurdu.
FBI, Diavol fidye yazılımını TrickBot çetesine bağladı
Bugün FBI, Diavol Ransomware operasyonunu, önceki saldırılarda görülen uzlaşma göstergelerini yeni bir danışma paylaşımında TrickBot Çetesi ile ilişkilendirdiklerini resmen duyurdu.
FBI, yeni bir FBI Flash tavsiyesinde, "FBI, Diavol fidye yazılımını ilk olarak Ekim 2021'de öğrendi. Diavol, Trickbot Banking Truva Atı'ndan sorumlu olan Trickbot Group'tan geliştiricilerle ilişkili" dedi.
O zamandan beri FBI, fidye görüşmelerinin ardından daha düşük ödemelerin kabul edildiği 10.000 ila 500.000 ABD Doları arasında değişen fidye talepleri gördü.
Bu miktarlar, tarihsel olarak milyonlarca dolarlık fidye talep eden Conti ve Ryuk gibi TrickBot ile bağlantılı diğer fidye yazılımı operasyonlarının talep ettiği yüksek fidyelerle tam bir tezat oluşturuyor.
Örneğin, Nisan ayında Conti fidye yazılımı operasyonu Florida'nın Broward County School bölgesinden 40 milyon dolar ve çip üreticisi Advantech'ten 14 milyon dolar talep etti.
FBI , kötü amaçlı yazılım çetesi için fidye yazılımı geliştirmeye katılan Letonyalı bir kadın olan Alla Witte'nin tutuklanmasından sonra Diavol'u TrickBot Çetesi'ne resmi olarak bağlayabildi .
TrickBot operasyonlarını takip eden AdvIntel CEO'su Vitali Kremez, BleepingComputer'a TrickBot bağlantılı yeni fidye yazılımının geliştirilmesinden Witte'nin sorumlu olduğunu söyledi.
Kremez bir konuşmada BleepingComputer'a, "Alla Witte, TrickBot operasyonları için kritik bir rol oynadı ve önceki AdvIntel'in derin çekişmeli içgörülerine dayanarak, Diavol fidye yazılımının geliştirilmesinden ve TrickBot operasyonlarını desteklemek için tasarlanan ön uç/arka uç projesinden sorumluydu. TrickBot ve Diavol," dedi.
"Diavol fidye yazılımının başka bir adı, Diavol yeniden markalanmadan önce TrickBot ekibi tarafından kullanılan "Enigma" fidye yazılımıydı."
FBI'ın danışma belgesi, Diavol için çok sayıda uzlaşma ve azaltma göstergeleri içerir ve bu da onu tüm güvenlik uzmanları ve Windows/ağ yöneticileri için vazgeçilmez bir okuma haline getirir.
Diavol fidye yazılımının, FBI danışma belgesinin belirttiği gibi, orijinal olarak 'README_FOR_DECRYPT.txt' adlı fidye notları oluşturduğuna dikkat edilmelidir, ancak BleepingComputer, fidye yazılımı çetesinin Kasım ayında 'Warning.txt' adlı fidye notlarına geçtiğini gördü.
FBI ayrıca tüm kurbanları, fidye ödemeyi planlayıp planlamadıklarına bakılmaksızın, soruşturma amaçları ve kolluk operasyonları için kullanabilecekleri yeni IOC'leri toplamak için saldırıları derhal kolluk kuvvetlerine bildirmeye çağırıyor.
Bir Diavol saldırısından etkilenirseniz, "Diavol fidye yazılımından etkilenenlere tehdit azaltma kaynakları sağlayabilecekleri" için ödeme yapmadan önce FBI'ı bilgilendirmeniz de önemlidir.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.