Le FBI associe le rançongiciel Diavol au groupe de cybercriminalité TrickBot

Diavol Ransomware

Le FBI a officiellement lié l’opération de rançongiciel Diavol au groupe TrickBot, les développeurs de logiciels malveillants à l’origine du célèbre cheval de Troie bancaire TrickBot.

Le gang TrickBot, alias Wizard Spider, est le développeur d’infections par des logiciels malveillants qui ont fait des ravages sur les réseaux d’entreprise pendant des années, entraînant généralement des attaques de rançongiciels Conti et Ryuk, des infiltrations de réseau, des fraudes financières et de l’espionnage d’entreprise.

Le gang TrickBot est surtout connu pour son homonyme, le cheval de Troie bancaire TrickBot, mais est également à l’origine du développement des portes dérobées BazarBackdoor et Anchor.

Une analyse préalable a lié Diavol à TrickBot Group

En juillet 2021, des chercheurs de FortiGuard Labs ont publié une analyse d’un nouveau logiciel de rançon appelé Diavol (Romanian for Devil) qui ciblait les entreprises victimes.

Les chercheurs ont vu des charges utiles de ransomware Diavol et Conti déployées sur un réseau lors de la même attaque de ransomware début juin 2021.

Après avoir analysé les deux échantillons de ransomware, des similitudes ont été découvertes, telles que leur utilisation d’opérations d’E/S asynchrones pour la mise en file d’attente de chiffrement de fichiers et des paramètres de ligne de commande presque identiques pour la même fonctionnalité.

À l’époque, il n’y avait pas suffisamment de preuves pour lier formellement les deux opérations.

Cependant, un mois plus tard, les chercheurs d’IBM X-Force ont établi un lien plus fort entre le rançongiciel Diavol et d’autres logiciels malveillants de TrickBot Gang, tels que Anchor et TrickBot.

Le FBI associe le rançongiciel Diavol au gang TrickBot

Aujourd’hui, le FBI a officiellement annoncé qu’il avait lié l’opération Diavol Ransomware au TrickBot Gang dans un nouvel avis partageant les indicateurs de compromission observés lors d’attaques précédentes.

« Le FBI a appris l’existence du rançongiciel Diavol pour la première fois en octobre 2021. Diavol est associé à des développeurs du groupe Trickbot, qui sont responsables du cheval de Troie bancaire Trickbot », déclare le FBI dans un nouveau Avis Flash du FBI.

Depuis lors, le FBI a vu des demandes de rançon comprises entre 10 000 $ et 500 000 $, avec des paiements inférieurs acceptés après des négociations de rançon.

Note de rançon Warning.txt du rançongiciel Diavol
Note de rançon Warning.txt du rançongiciel Diavol

Ces montants contrastent fortement avec les rançons plus élevées exigées par d’autres opérations de ransomware liées à TrickBot, telles que Conti et Ryuk, qui ont toujours demandé des rançons de plusieurs millions de dollars.

Par exemple, en avril, l’opération de rançongiciel Conti a demandé 40 millions de dollars au district scolaire du comté de Broward en Floride et 14 millions de dollars au fabricant de puces Advantech.

Le FBI a probablement été en mesure de lier officiellement Diavol au gang TrickBot après l’arrestation d’Alla Witte, une femme lettone impliquée dans le développement d’un logiciel de rançon pour le gang de logiciels malveillants.

Vitali KremezPDG d’AdvIntel, qui a suivi les opérations de TrickBot, a déclaré à EZpublish-france.fr que Witte était responsable du développement du nouveau ransomware lié à TrickBot.

« Alla Witte a joué un rôle essentiel dans les opérations de TrickBot et, sur la base des connaissances contradictoires profondes d’AdvIntel, elle était responsable du développement du ransomware Diavol et du projet frontend / backend destiné à soutenir les opérations de TrickBot avec le ransomware spécifique sur mesure avec la backconnectivité du bot entre TrickBot et Diavol », a déclaré Kremez à EZpublish-france.fr lors d’une conversation.

« Un autre nom pour le rançongiciel Diavol s’appelait le rançongiciel « Enigma » exploité par l’équipe TrickBot avant le changement de marque Diavol. »

L’avis du FBI contient de nombreux indicateurs de compromission et d’atténuation pour Diavol, ce qui en fait une lecture essentielle pour tous les professionnels de la sécurité et les administrateurs Windows/réseau.

Il convient de noter que le ransomware Diavol a créé à l’origine des notes de rançon nommées « README_FOR_DECRYPT.txt », comme l’a souligné l’avis du FBI, mais EZpublish-france.fr a vu le gang de ransomware passer en novembre à des notes de rançon nommées « Warning.txt ».

Le FBI exhorte également toutes les victimes, qu’elles envisagent ou non de payer une rançon, à informer rapidement les forces de l’ordre des attaques afin de collecter de nouveaux IOC qu’elles peuvent utiliser à des fins d’enquête et d’opérations de maintien de l’ordre.

Si vous êtes affecté par une attaque Diavol, il est également important d’informer le FBI avant de payer car il « peut être en mesure de fournir des ressources d’atténuation des menaces aux personnes touchées par le rançongiciel Diavol ».