Các nhà nghiên cứu từ FortiGuard Labs của Fortinet mới cho biết, các tải trọng (payload) ransomware Conti và Diavol đã được triển khai trên các hệ thống khác nhau trong một cuộc tấn công bất thành nhắm vào những khách hàng của họ hồi đầu tháng.
TrickBot là một Trojan ngân hàng được phát hiện lần đầu tiên vào năm 2016, là một giải pháp phần mềm tội phạm mạng truyền thống dựa trên Windows. Trojan này sử dụng các modun khác nhau để thực thi một loạt các hoạt động độc hại trên các mạng mục tiêu, bao gồm đánh cắp thông tin xác thực và tiến hành các cuộc tấn công ransomware.
Bất chấp những nỗ lực của cơ quan thực thi pháp luật để vô hiệu hóa mạng bot, phần mềm độc hại luôn thay đổi đã chứng minh sự dai dẳng của mối đe dọa. Đây là những gì mà kẻ khai thác được mệnh danh là "Wizard Spider" đã nhanh chóng điều chỉnh các công cụ mới để thực hiện những cuộc tấn công tiếp theo.
Diavol được cho là đã triển khai thông thường với một số sự cố. Nguồn gốc của sự xâm phạm hiện vẫn chưa được làm rõ. Tuy nhiên, điều rõ ràng là mã nguồn payload chia sẻ có những điểm gần giống với Conti, ngay cả thông báo đòi tiền chuộc cũng sử dụng lại ngôn ngữ từ ransomware Egregor.
Các nhà nghiên cứu cho biết: "Là một phần của quy trình mã hóa độc đáo, Diavol hoạt động bằng cách sử dụng các thủ tục gọi không đồng bộ (Asynchronous Procedure Calls - APCs) ở chế độ người dùng không có thuật toán mã hóa đối xứng. Thông thường, những kẻ tạo ra ransomware đặt mục tiêu hoàn thành hoạt động mã hóa trong khoảng thời gian ngắn nhất. Các thuật toán mã hóa bất đối xứng không phải tự nhiên mà được chọn lựa khi chúng chậm hơn nhiều so với các thuật toán đối xứng".
Một góc độ khác biệt của ransomware là chúng dựa vào kỹ thuật chống phân tích để làm rối mã trong các hình ảnh bitmap, từ đó tải các quy trình vào bộ đệm kèm theo những quyền thực thi.
Trước khi khóa các tệp tin và thay đổi nền máy tính bằng thông báo tiền chuộc, một số chức năng chính mà Diavol thực hiện bao gồm đăng ký thiết bị của nạn nhân với máy chủ từ xa, ngắt các tiến trình đang chạy, tìm kiếm các ổ đĩa nội bộ và các tệp tin trong hệ thống để mã hóa và ngăn chặn phục hồi bằng việc xóa các shadow copy (một công nghệ có trong Microsoft Windows có thể tạo các bản sao lưu hoặc ảnh chụp nhanh của các tập tin hoặc tập tin máy tính, ngay cả khi chúng đang được sử dụng).
Nỗ lực của ransomware mà Wizard Spider mới tạo ra của cũng trùng hợp với "những sự phát triển mới cho module WebInject (công cụ dùng để kiểm tra các ứng dụng và dịch vụ web) của TrickBot mà nhóm Kryptos Logic Threat Intelligence đã nhận định rằng nhóm tội phạm mạng với những động cơ về tài chính vẫn đang tích cực trang bị những tính năng độc hại của mình.
Còn theo nhà nghiên cứu an ninh mạng Marcus: "TrickBot đã đưa module gian lận vào ngân hàng của chúng tôi, những module này đã được cập nhật để hỗ trợ các Webinject kiểu Zeus. Điều này có thể có thể cho thấy rằng chúng đang tiếp tục các hoạt động gian lận và có kế hoạch mở rộng truy nhập tới những định dạng Webinject nội bộ của chúng tôi"./.